eval コマンドはSplunkの検索結果に新しいフィールドを追加したり、既存のフィールドを加工・再計算するための強力なコマンドです。数値計算、文字列操作、条件分岐などが可能です。 eval: 各イベントの情報を加工・追加・変更することに特化しており ...
→ 集計結果だけが残るので、イベントを残したい場合は eventstats を検討。 集計の粒度を考える → BY を細かく指定しすぎるとデータが膨大になり、逆に集計が遅くなる。 フィールドの有無に注意 → NULLのフィールドは集計から外れることがあるので、fillnullと ...
一部の結果でアクセス不可の可能性があるため、非表示になっています。
アクセス不可の結果を表示する