正規表現を使用しない場合のカラム名変換について

pisc · ‎02-23-2014

カラム名の変換方法について教えてください。

正規表現を使用せずにSplunk側で処理が出来て読み込めたデータがありますが、カラム名を変更したいと思います。
Splunk側で読み込んだデータに対してカラム名を変更することは可能ですか？

MuS · ‎02-23-2014

Hi PISC,

if google did translate this correctly and I get it correct, you can use rename to change names of fields used in column. For example:

... | rename user AS myUser | ...

or

... | rename count AS myCount | ...

Also, you can name fields also directly in chart or timechart like this:

... | timechart values(count) AS myCount by host

hope this helps ...

cheers, MuS

pisc · ‎03-02-2014

ご回答ありがとうございます。

「サーチ」のrename関数を使用するわけではなく、Splunkにデータが取り込まれた際に決定するカラム自体を変更したいです。

調べたところ、props.confにエイリアスを入力すれば目的としていることが出来ました。

chris · ‎02-27-2014

Language should never be a barrier 🙂