フィールドvalueに値が、affectedにその条件が入っています。
例
No value affected
1 10 =
2 5 =<
3 1 !=
イベント毎にaffectedでvalueの値を判定し、Trueのみ表示したいです。
(例だと6で検索するとNo2,3の両方が取れるようにしたいです。)
何か良い方法無いでしょうか。
Splunkで使える比較演算子は6つなので、力技ですがcase文に全ていれてしまってはどうでしょうか。
YOUR_SEARCH OR INPUTLOOKUP
| eval i = 6
| eval flag=case(affected="=",if(value=i,"true","false"),affected="!=",if(value!=i,"true","false"),(affected="=<" OR affected="<="),if(value<=i,"true","false"),(affected="=>" OR affected=">="),if(value>=i,"true","false"),affected="<",if(value<i,"true","false"),affected=">",if(value>i,"true","false"))
| where flag="true"