LoginSignup
2
2

More than 3 years have passed since last update.

@toshikawa(川俣 利久)

Splunkでフィールドの値からフィールドを作成

Posted at

やってみました。

SPL
| makeresults
| eval field_name="ABCDEF"
| eval field_name=split(field_name,"")
| mvexpand field_name
| eval {field_name}=random() %10

解説

  1. いつものmakeresults
  2. field_nameに値を設定
  3. splitmulti valueに変更
  4. mvexpand で行分割
  5. evalで{フィールド名にしたいフィールド}に値をセット

結果

qiita.png

あとは不必要なフィールドを消していけばいい。

:sweat: これくらいだと普通にevalで書いてってももいいね

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
2