Splunk SPL 小ネタ | eval{field}

Last updated at 2024-05-13Posted at 2024-05-13

Splunk Version 9.2.1

SPLで気づきにくい便利コマンドの紹介

下記のデータについて、my_int フィールドを値別に別フィールドで管理したい場合

下記SPLを使うと便利

qiita.rb

| eval {field} = field

　※勿論 eval式なので、= 以下は変数でも定数でも可。

my_intの値を、1, 3 にするとこんな感じになる。

qiita.rb

| makeresults format=csv
data="my_int,my_char
1,aaa
1,bbb
3,ccc
3,ddd"
| table my_int my_char

| eval {my_int} = my_int