Splunk - Campos calculados

Muchas veces, necesitaremos hacer algunos cálculos en los campos que ya están disponibles en los eventos de Splunk. También queremos almacenar el resultado de estos cálculos como un nuevo campo al que posteriormente se hará referencia mediante varias búsquedas. Esto es posible mediante el uso del concepto de campos calculados en la búsqueda de Splunk.

Un ejemplo más simple es mostrar los primeros tres caracteres de un día de la semana en lugar del nombre completo del día. Necesitamos aplicar cierta función de Splunk para lograr esta manipulación del campo y almacenar el nuevo resultado con un nuevo nombre de campo.

Ejemplo

El archivo de registro de la aplicación Web tiene dos campos denominados bytes y date_wday. El valor en el campo de bytes es el número de bytes. Queremos mostrar este valor como GB. Esto requerirá que el campo se divida por 1024 para obtener el valor en GB. Necesitamos aplicar este cálculo al campo de bytes.

Del mismo modo, date_wday muestra el nombre completo del día de la semana. Pero necesitamos mostrar solo los primeros tres caracteres.

Los valores existentes en estos dos campos se muestran en la imagen a continuación:

Usando la función eval

Para crear un campo calculado, usamos la función eval. Esta función almacena el resultado del cálculo en un nuevo campo. Vamos a aplicar los dos cálculos siguientes:

# divide the bytes with 1024 and store it as a field named byte_in_GB
Eval byte_in_GB = (bytes/1024)

# Extract the first 3 characters of the name of the day.
Eval short_day = substr(date_wday,1,3)

Agregar nuevos campos

Agregamos nuevos campos creados anteriormente a la lista de campos que mostramos como parte del resultado de la búsqueda. Para hacer esto, elegimosAll fields opciones y marque la marca de verificación junto al nombre de estos nuevos campos como se muestra en la imagen de abajo -

Visualización de los campos calculados

Después de elegir los campos anteriores, podemos ver los campos calculados en el resultado de la búsqueda como se muestra a continuación. La consulta de búsqueda muestra los campos calculados como se muestra a continuación: