https://twitter.com/GreggWoodcock/status/1269327397301751811
ということで、 @woodcockがプレゼンをやるということなので、こちらも勝手にやってみる。
違い
| コマンド | 大文字小文字 | 結局なんなのよ |
|---|---|---|
| search | 関係なし | サーチなので |
| where | 関係あり | evalと一緒 |
解説
evalがケースセンシティブというのはfundamental1で教えてくれる大事なこと。
逆にsearchはケースインセンシティブ
日本語でここら辺を簡潔にいうのはなんていうのだろう
statsの後とかwhereかsearchかは
- どちらにしても
フィールド名=は必要 - 正規表現とか考えると
whereのほうがやれることが多い - 単純にフィールドの値を限定するなら
searchの方がわかりやすい -
"で囲うのを忘れるのはwhereでは致命的
whereの評価はevalというのは、結構忘れやすいかもしれない。
そのため、4番目の制限でエラーになりやすい(かも)
まとめ
大文字小文字を「気にする」か「気にしないか」と文字列を"で「囲わない」と「囲う」の違いが大きいsearchとwhere
自分の案件はwhereでSplunk>Answersで答える時はsearchでやるのが多いです。
Splunk>Answersの質問者は詳細が分からないとこが多いですし。