- Splunk 教程
- Splunk - 首页
- Splunk - 概览
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查找
- Splunk - 调度和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - Sparklines(迷你图)
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - sort 命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 计算字段
很多时候,我们需要对 Splunk 事件中已有的字段进行一些计算。我们也希望将这些计算的结果存储为一个新的字段,以便以后在各种搜索中引用。这可以通过使用 Splunk 搜索中的计算字段的概念来实现。
一个最简单的例子是显示星期名前三个字符,而不是完整的星期名称。我们需要应用某些 Splunk 函数来实现对字段的这种操作,并将新的结果存储在一个新的字段名称下。
示例
Web_application 日志文件有两个名为 bytes 和 date_wday 的字段。bytes 字段中的值是字节数。我们希望将此值显示为 GB。这需要将字段除以 1024 以获得 GB 值。我们需要将此计算应用于 bytes 字段。
类似地,date_wday 显示星期名称的完整名称。但我们需要只显示前三个字符。
这两个字段中现有的值如下面的图像所示:
使用 eval 函数
要创建计算字段,我们使用 eval 函数。此函数将计算结果存储在一个新字段中。我们将应用以下两个计算:
# divide the bytes with 1024 and store it as a field named byte_in_GB Eval byte_in_GB = (bytes/1024) # Extract the first 3 characters of the name of the day. Eval short_day = substr(date_wday,1,3)
添加新字段
我们将上面创建的新字段添加到我们作为搜索结果显示的字段列表中。为此,我们选择“所有字段”选项,并在这些新字段的名称前打勾,如下面的图像所示:
显示计算字段
选择上述字段后,我们可以在搜索结果中看到计算字段,如下所示。搜索查询显示计算字段,如下所示:
广告