renameコマンドの説明を書きます。
以下の記事の派生記事です。
canada-lemon.hatenablog.com

renameはフィールドをリネームします。

構文例
| rename <リネームしたいフィールド名> as <新しいフィールド名>

使用例1：フィールド名を日本語にする

index=_internal 
| table _time host
| rename host as ホスト名

原則として、Splunkのフィールド名は半角英数字のほうが扱いやすいです。
フィールド名はギリギリまで半角英数字で処理し、最後の行で日本語にrenameするのがおすすめです。

備考1：新しいフィールド名に既存の名前を指定すると上書きしてしまう

| rename host as host_nameとリネームしたとき、host_nameというフィールドが既に存在していたら、それを上書きしてしまいます。
このとき警告やエラーは出ないので注意しましょう。

以下のSPLでは_rawフィールドを上書きしています。

index=_internal 
| table _time host _raw
| rename host as _raw

renameの説明は以上です。
シンプルなコマンドなので書くこともシンプルでした。
ここまで読んでいただき、ありがとうございました。

Splunk頻出SPLシリーズ

• 全体の紹介
• table
• rename←今ココ
• eval
• stats
• eventstats
• sort
• timechart
• lookup
• where
• search