フィールドの値を使用して判定を行いたい

blaku · ‎12-12-2018

フィールドvalueに値が、affectedにその条件が入っています。
例

No  value   affected
1   10      =
2   5        =<
3   1        !=

イベント毎にaffectedでvalueの値を判定し、Trueのみ表示したいです。
(例だと6で検索するとNo2,3の両方が取れるようにしたいです。)
何か良い方法無いでしょうか。

tuemura_splunk · ‎12-13-2018

Splunkで使える比較演算子は6つなので、力技ですがcase文に全ていれてしまってはどうでしょうか。

YOUR_SEARCH OR INPUTLOOKUP
| eval i = 6
| eval flag=case(affected="=",if(value=i,"true","false"),affected="!=",if(value!=i,"true","false"),(affected="=<" OR affected="<="),if(value<=i,"true","false"),(affected="=>" OR affected=">="),if(value>=i,"true","false"),affected="<",if(value<i,"true","false"),affected=">",if(value>i,"true","false"))
| where flag="true"

フィールドの値を使用して判定を行いたい

Webinar Recap | Revolutionizing IT Operations: The Transformative Power of AI and ML ...

.conf24 | Registration Open!

ICYMI - Check out the latest releases of Splunk Edge Processor