Làm cách nào để tạo một trường trong Splunk?

2024 Tác giả: Stanley Ellington | [email protected]. Sửa đổi lần cuối: 2023-12-16 00:25

Tạo các trường được tính toán với Splunk Web

1. Chọn Cài đặt> Lĩnh vực .
2. Chọn tính toán Lĩnh vực > Mới.
3. Chọn ứng dụng sẽ sử dụng đồng ruộng .
4. Chọn máy chủ, nguồn hoặc loại nguồn để áp dụng cho đồng ruộng và chỉ định một cái tên.
5. Đặt tên cho kết quả được tính toán đồng ruộng .
6. Xác định biểu thức eval.

Xem xét điều này, làm thế nào để bạn thêm một trường trong Splunk?

Thêm trường biểu thức eval

1. Trong Trình chỉnh sửa mô hình dữ liệu, hãy mở tập dữ liệu mà bạn muốn thêm trường vào.
2. Nhấp vào Thêm trường.
3. Nhập Biểu thức Đánh giá xác định giá trị trường.
4. Trong Trường nhập Tên Trường và Tên Hiển thị.
5. Xác định trường Loại và đặt Cờ của trường đó.

Tương tự, số liệu thống kê trong Splunk là gì? Splunk - Số liệu thống kê Chỉ huy. Quảng cáo. Các số liệu thống kê lệnh được sử dụng để tính toán thống kê tóm tắt về kết quả của một tìm kiếm hoặc các sự kiện được truy xuất từ một chỉ mục. Các số liệu thống kê lệnh hoạt động trên toàn bộ kết quả tìm kiếm và chỉ trả về các trường mà bạn chỉ định.

Hơn nữa, làm cách nào để trích xuất một trường trong Splunk?

Để có được tập hợp đầy đủ các loại nguồn trong triển khai Splunk của bạn, hãy truy cập trang Trích xuất trường trong Cài đặt

1. Chạy tìm kiếm trả về các sự kiện.
2. Ở đầu thanh bên của các trường, hãy nhấp vào Tất cả các trường.
3. Trong hộp thoại Tất cả các trường, bấm Trích xuất các trường mới. Bộ trích xuất trường khởi động bạn ở bước Chọn mẫu.

Bạn sử dụng eval trong Splunk như thế nào?

ví dụ lệnh eval

1. Tạo một trường mới chứa kết quả của một phép tính.
2. Sử dụng hàm if để phân tích giá trị trường.
3. Chuyển đổi giá trị thành chữ thường.
4. Chỉ định tên trường có chứa dấu gạch ngang hoặc các ký tự khác.
5. Tính tổng diện tích của hai hình tròn.
6. Trả về giá trị chuỗi dựa trên giá trị của một trường.