Splunk: サブサーチの結果を1つの文字列にまとめてSPL文中で使用する、formatコマンドとreturnコマンド
使用する機会があったのでメモ。
実施環境: Splunk Free 8.2.2
Splunk のコマンドの1つに、 format コマンドというものがあります。
このコマンドは一般的には、サブサーチの結果を検索条件に含めるために使用されます。
index="_internal" sourcetype="splunkd" source="*/splunkd.log"
[
| makeresults count=1
| eval log_level="ERROR"
| fields log_level
| format
]
| table _time, log_level, event_message
ここで、上記の SPL 文についてもう少し考えてみます。
上記のような SPL 文は、文の先頭で暗黙的に search コマンドを使用しています。
つまり、 format コマンドを適用したサブサーチの結果は、 search コマンドの引数に与えられたと考えることができます。
とするとここで1つ思い浮かぶのが、「では他のコマンドでも format コマンドの結果を引数として適用できるのか?」ということです。
結論から言えば、できます。
| makeresults count=10
| streamstats count AS Num1
| where
[
| makeresults count=10
| streamstats count AS Num2
| eval Num1 = Num2 * 2
| fields Num1
| format
]
| table Num1
それだけではなく、 format コマンドはもっとポテンシャルを持ったコマンドです。
試しに上記の SPL 文からサブサーチだけを抜き出すと、次のようになっています。
| makeresults count=10
| streamstats count AS Num2
| eval Num1 = Num2 * 2
| fields Num1
| format
search というフィールドに、サブサーチから組み立てられた文字列が入っています。
先の SPL 文ではこの組み立てられた文字列が search コマンドや where コマンドの引数として適用されたわけです。
実はこの「組み立てられた文字列」というのがミソで、 format コマンドの引数を変えると他にも色々な組み立て方ができるのです。
ちょっと以下の SPL 文で試してみましょう。
| makeresults count=3
| streamstats count AS Num1
| eval Num2 = Num1 * 10
| eval Num3 = Num1 * 100
| fields Num1, Num2, Num3
引数なしで format コマンドを適用すると、以下のようになります。
| makeresults count=3
| streamstats count AS Num1
| eval Num2 = Num1 * 10
| eval Num3 = Num1 * 100
| fields Num1, Num2, Num3
| format
format コマンドに、引数を与えてみます。
| makeresults count=3
| streamstats count AS Num1
| eval Num2 = Num1 * 10
| eval Num3 = Num1 * 100
| fields Num1, Num2, Num3
| format "行始まり" "列始まり" "列区切り" "列終わり" "行区切り" "行終わり"
このように、 format コマンドの本質は、サブサーチの結果を1つの文字列に固めて、 SPL 文中で使用する点にあります。
これを応用すると、例えば結果に表示する列名をサブサーチで指定する、なんてこともできたりします。
| makeresults count=3
| eval Test1=1, Test2=2, Test3=3, Test4=4, Test5=5
| table
[
| makeresults count=5
| streamstats count AS Num1
| eval Num2 = Num1 * 2
| eval Col_Name = "Test" + Num2
| fields Col_Name
| format "" "" "" "" "" ""
| eval search = replace(search, "Col_Name=", "")
]
format コマンドと類似したコマンドに、 return コマンドというものもあります。
こちらも、サブサーチの結果を search というフィールドに固めることができます。
| makeresults count=3
| streamstats count AS Num1
| eval Num2 = Num1 * 10
| eval Num3 = Num1 * 100
| return 3 Num1, Num2, Num3
ただ、 return コマンドは上記のような使い方よりも、
フィールド名不要で値のみ欲しい場合によく使用されます。
フィールド名の前に$をつけることで、値のみを取得できます。
| makeresults count=1
| eval Num2 = 1
| return $Num2
| makeresults count=5
| eval Num1 =
[
| makeresults count=1
| eval Num2 = 1
| return $Num2
]
| table Num1
なお、引数で明示しない限り、 return は先頭の行のみを
結果の組み立てに使用します。
| makeresults count=3
| streamstats count AS Num1
| return $Num1
Author And Source
この問題について(Splunk: サブサーチの結果を1つの文字列にまとめてSPL文中で使用する、formatコマンドとreturnコマンド), 我々は、より多くの情報をここで見つけました https://qiita.com/frozencatpisces/items/5a3ed9cb413628cc6300著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .