【Splunk】makeresultsはダミーのリザルトを生成する
こんにちは。
この記事では、Splunkのmakeresultsコマンドについて説明します。
makeresultsは、名前の通りリザルトを生成するコマンドです。
このコマンドはそんなに登場頻度が高くないので、当初は紹介する予定がありませんでした。
ただ、他のコマンドを説明する過程でmakeresultsを使う予定があり、書くことにしました。*1
使用例は、ダッシュボード上でトークン値等を表示させたり、それこそコマンドの説明に使ったりする程度でしょうか。
もっと良い活用方法をご存知の方がいらっしゃったら教えてください。
ダッシュボード上でトークン値を表示させるSPL例です。
単体では動作しないのでご注意ください。
| makeresults | eval token = "$token$" | table token
リザルトを生成するSPL例です。
デフォルトだと_timeフィールドも生成されるので、邪魔ならtableコマンドで必要なフィールドだけ表示させましょう。*2
| makeresults | eval Name = "Alice" | eval Score = 70 | eval result = Name + "は" + Score + "点です" | table Name Score result
出力結果
Name | Score | result |
---|---|---|
Alice | 70 | Aliceは70点です |
もう一つ、makeresultsはformatというオプションを指定することで、csvやjsonデータを扱えます。
csvを展開するSPL例です。
| makeresults format=csv data="Name,Score Alice,70 Bob,65 Carol,80"
出力結果
Name | Score |
---|---|
Alice | 70 |
Bob | 65 |
Carol | 80 |
というわけで、makeresultsの紹介でした。
makeresultsは、リザルトを生成したり、csvを展開したりできます。
ここまで読んでいただき、ありがとうございました。