Splunk - Campos Calculados

Muitas vezes, precisaremos fazer alguns cálculos nos campos que já estão disponíveis nos eventos do Splunk. Também queremos armazenar o resultado desses cálculos como um novo campo a ser consultado posteriormente por várias pesquisas. Isso é possível usando o conceito de campos calculados na pesquisa do Splunk.

Um exemplo mais simples é mostrar os três primeiros caracteres de um dia da semana em vez do nome completo do dia. Precisamos aplicar certas funções do Splunk para conseguir essa manipulação do campo e armazenar o novo resultado com um novo nome de campo.

Exemplo

O arquivo de log do Web_application possui dois campos chamados bytes e date_wday. O valor no campo bytes é o número de bytes. Queremos exibir esse valor como GB. Isso exigirá que o campo seja dividido por 1024 para obter o valor GB. Precisamos aplicar esse cálculo ao campo bytes.

Da mesma forma, o date_wday exibe o nome completo do dia da semana. Mas precisamos exibir apenas os três primeiros caracteres.

Os valores existentes nestes dois campos são mostrados na imagem abaixo -

Usando a função eval

Para criar o campo calculado, usamos a função eval. Esta função armazena o resultado do cálculo em um novo campo. Vamos aplicar os dois cálculos abaixo -

# divide the bytes with 1024 and store it as a field named byte_in_GB
Eval byte_in_GB = (bytes/1024)

# Extract the first 3 characters of the name of the day.
Eval short_day = substr(date_wday,1,3)

Adicionando Novos Campos

Adicionamos novos campos criados acima à lista de campos que exibimos como parte do resultado da pesquisa. Para fazer isso, nós escolhemosAll fields opções e marque a marca de seleção ao lado do nome desses novos campos, conforme mostrado na imagem abaixo -

Exibindo os campos calculados

Depois de escolher os campos acima, podemos ver os campos calculados no resultado da pesquisa conforme mostrado abaixo. A consulta de pesquisa exibe os campos calculados conforme mostrado abaixo -