將自定義列/字段添加到 splunk 結果中
[英]Adding custom column / field into splunk result
問題描述
我是 splunk 的新手,我正在自己嘗試。 對於大多數人來說,這可能是一個基本問題,但請耐心等待幫助我。
| inputlookup "Wsp.csv"
| eval Outage = if(PublisherStatus = "Active", "1","0")
| eval _time=strptime(_time, "%Y-%m-%dT%H:%M:%S")
| eval DayOfWeek=strftime(_time, "%A")
我正在嘗試添加 Outage 和 DayOfWeek 以顯示在結果中。
我嘗試使用字段 Outage 和 dayofweek,但它不顯示 Wsp.csv 中存在的字段的 rest
是否可以在搜索結果中顯示 Wsp + Outage + dayofweek? 如何?
1 個解決方案
解決方案1
0 2020-04-29 13:10:32
您編寫的內容會將 Outage 和 DayOfWeek 字段添加到您的結果中
如果要重新排序,請使用| table | table :
| table _time Outage DayOfWeek <rest of fields, or *>
此外, _time不需要轉換為紀元時間:它是一個始終存儲在紀元時間中的內部字段(除非您的 CSV 很奇怪)
將自定義字段添加到 splunk 查詢
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.