サーチ結果をアラートメールに反映させる為、アラートマニュアルを参考に、$result.フィールド名$をメッセージ欄に記述したのですが、 実際のメールを見ると、$result.フィールド名$と、 入力文字そのままが返ってきてしまいます。 リネーム前のフィールド名や$result."フィールド名"$等、いろいろやってみたのですが、全て結果は同じ。
唯一、$result._time$は返ってくるのですが、表記が10桁の数値になり、 時間が分からない形となってしまいます。
上記2点、解決方法をご教授いただけないでしょうか?
日本語のフィールドを指定したとき、tokenの解釈が間違えているように見えます。 たとえば、 | stats count as カウント としたときに $result.カウント$ は、カウントをフィールド名として認識せず、そのまま $result.カウント$ として出力されます。
動作きちんとしますので、なにかが間違ってらっしゃるように見えます。
https://splunkbase.splunk.com
のなかからいろいろなAppをダウンロードして、それぞれの設定内容を参考にされるといいと思います。