Eval 在Splunk 中的实际用途_热门知识

Eval 在Splunk 中的实际用途

admin

2024-03-18 06:36:04

最近在向Splunk UBA 中导入数据的时候，总报字段不能被认识，下面就可以通过eval 来创造这些必须的字段来达到要求：

1: | eval tag="network,session,vpn,authentication,start" | makemv delim="," tag

这段SPL 就是可以创造 tag = network,session,vpn,authentication,start 的五种tag, 并且后面的 | makemv delim="," tag ，可以分割成5种tag, 要是没有后面的，就只有一种tag, tag=network,session,vpn,authentication,start, 一整条。

2:｜eval user=username, 就是把event 中字段username , 等效成user, 在field 中出现两个： user, 还有原来的username.

3: | eval protocol="RADIUS", 注意：左边的是双引号，就是去里面的符号，如果是：单引号，那么就是取它的 value (值）。

4: ｜ eval action=if(action="deny","blocked","allowed")

这条经常用到的，就是在导入防火墙数据的时候，UBA只认action = allow, blocked 的数据，但是我的数据中，有action=deny

上一篇： 玩家必备技术欢乐拼三张到底有挂吗!讲一讲是不是有挂-知乎

下一篇：金牌讲解忆游十三道有挂吗确实有挂-知乎

Eval 在Splunk 中的实际用途

相关内容

热门资讯