Splunkでフィールドの値からフィールドを作成

やってみました。

SPL

| makeresults
| eval field_name="ABCDEF"
| eval field_name=split(field_name,"")
| mvexpand field_name
| eval {field_name}=random() %10

解説

1. いつものmakeresults
2. _field_name_に値を設定
3. splitでmulti valueに変更
4. mvexpand で行分割
5. evalで{フィールド名にしたいフィールド}に値をセット

結果

あとは不必要なフィールドを消していけばいい。

これくらいだと普通にevalで書いてってももいいね