Splunk – campos calculados

Splunk – campos calculados

Muchas veces necesitaremos hacer algunos cálculos en campos que ya están disponibles en los eventos de Splunk. También queremos guardar el resultado de estos cálculos como un nuevo campo, que luego se utilizará en varias búsquedas. Esto es posible mediante el uso del concepto de campos calculados en la búsqueda de Splunk.

El ejemplo más simple es mostrar los primeros tres caracteres del día de la semana en lugar del nombre completo del día. Necesitamos aplicar una función Splunk específica para realizar esta manipulación en el campo y guardar el nuevo resultado con un nuevo nombre de campo.

Ejemplo

El archivo de registro de la aplicación Web tiene dos campos denominados bytes y date_wday. El valor en el campo de bytes es el número de bytes. Queremos mostrar este valor como GB. Esto requeriría dividir el campo por 1024 para obtener el valor en GB. Necesitamos aplicar este cálculo al campo de bytes.

Del mismo modo, date_wday muestra el nombre completo del día de la semana. Pero solo necesitamos mostrar los primeros tres caracteres.

Los valores existentes en estos dos campos se muestran en la imagen a continuación:

Usando la función eval

Usamos la función eval para crear un campo calculado. Esta función guarda el resultado del cálculo en un nuevo campo. Vamos a aplicar los siguientes dos cálculos:

# divide the bytes with 1024 and store it as a field named byte_in_GB
Eval byte_in_GB = (bytes/1024)

# Extract the first 3 characters of the name of the day.
Eval short_day = substr(date_wday,1,3)

Agregar nuevos campos

Estamos agregando los nuevos campos creados anteriormente a la lista de campos que se muestran como parte de los resultados de la búsqueda. Por esto elegimos Todos los campos opciones y marque la casilla junto al nombre de estos nuevos campos como se muestra en la imagen a continuación –

Visualización de campos calculados

Al seleccionar los campos de arriba, podemos ver los campos calculados en los resultados de la búsqueda como se muestra a continuación. La consulta de búsqueda muestra los campos calculados como se muestra a continuación: