【Splunk】makeresultsはダミーのリザルトを生成する

こんにちは。
この記事では、Splunkのmakeresultsコマンドについて説明します。

makeresultsは、名前の通りリザルトを生成するコマンドです

このコマンドはそんなに登場頻度が高くないので、当初は紹介する予定がありませんでした。
ただ、他のコマンドを説明する過程でmakeresultsを使う予定があり、書くことにしました。*1

使用例は、ダッシュボード上でトークン値等を表示させたり、それこそコマンドの説明に使ったりする程度でしょうか。
もっと良い活用方法をご存知の方がいらっしゃったら教えてください。

ダッシュボード上でトークン値を表示させるSPL例です。
単体では動作しないのでご注意ください。

| makeresults
| eval token = "$token$"
| table token


リザルトを生成するSPL例です。
デフォルトだと_timeフィールドも生成されるので、邪魔ならtableコマンドで必要なフィールドだけ表示させましょう。*2

| makeresults 
| eval Name = "Alice"
| eval Score = 70
| eval result = Name + "は" + Score + "点です"
| table Name Score result

出力結果

Name Score result
Alice 70 Aliceは70点です


もう一つ、makeresultsはformatというオプションを指定することで、csvjsonデータを扱えます。
csvを展開するSPL例です。

| makeresults format=csv 
data="Name,Score
Alice,70
Bob,65
Carol,80"

出力結果

Name Score
Alice 70
Bob 65
Carol 80


というわけで、makeresultsの紹介でした。
makeresultsは、リザルトを生成したり、csvを展開したりできます。
ここまで読んでいただき、ありがとうございました。

*1:知らないコマンドの説明で、更に知らないコマンドが登場したら嫌ですよね

*2:逆に不要なフィールドを消すアプローチもありますが、必要なフィールドを明示的に書くほうが何かとわかりやすいです