- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 计算字段
很多时候,我们需要对 Splunk 事件中已有的字段进行一些计算。我们还希望将这些计算的结果存储为一个新字段,以便以后进行各种搜索时引用。这是通过使用 Splunk 搜索中计算字段的概念来实现的。
一个最简单的示例是显示工作日的前三个字符而不是完整的日期名称。我们需要应用某些 Splunk 函数来实现对字段的这种操作,并将新结果存储在新的字段名称下。
例子
Web_application 日志文件有两个名为 bytes 和 date_wday 的字段。字节字段中的值是字节数。我们希望将此值显示为 GB。这需要将该字段除以 1024 以获得 GB 值。我们需要将此计算应用于字节字段。
同样,date_wday 显示星期几的完整名称。但我们只需要显示前三个字符。
这两个字段中的现有值如下图所示 -
使用 eval 函数
为了创建计算字段,我们使用 eval 函数。该函数将计算结果存储在新字段中。我们将应用以下两个计算 -
# divide the bytes with 1024 and store it as a field named byte_in_GB Eval byte_in_GB = (bytes/1024) # Extract the first 3 characters of the name of the day. Eval short_day = substr(date_wday,1,3)
添加新字段
我们将上面创建的新字段添加到作为搜索结果的一部分显示的字段列表中。为此,我们选择所有字段选项并勾选这些新字段名称的复选标记,如下图所示 -
显示计算字段
选择上面的字段后,我们可以在搜索结果中看到计算的字段,如下所示。搜索查询显示计算字段,如下所示 -
