超级会员免费看
本文详细记录了Splunk SPL查询语言的关键概念和实用技巧,涵盖了搜索、过滤、聚合等核心操作,旨在帮助读者更好地理解和运用SPL处理大数据分析任务。
#重命名a为b
| rename a as b
#日期格式化并计算
| eval t1=strptime(time1,"%Y-%m-%dT%H:%M:%S.%3N%z"),t2=strptime(time2,"%Y-%m-%dT%H:%M:%S.%3N%z")
| eval duration=t2-t1
#变量值为0时显示的是变量名,需要如下判断(表示如果b+c等于0,那么结果就是0,否则就等于b+c的值)
| eval myvalue=if((b+c)=0,0,b+c)
#保留两位小数
eval result=round(total,2)
#在dashboard中使用单$来引用变量,如果嵌套使用的search中也有变量,需要在search中使用双$$
$value1$ //dashboard
$$value2$$ //search in dashboard
#循环(将该字段的每个值的count都列出来放在一个table中)
| makeresults
| fields - _time
| eval multivalue="value1,value2,value3,value4"
| makemv multivalue delim=","
| mvexpand multivalue
| map search="| search index="xxx" source="yyy" myfield=
订阅专栏 解锁全文
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
