Splunk Search
Highlighted

フィールドの値を使用して判定を行いたい

Explorer

フィールドvalueに値が、affectedにその条件が入っています。

No  value   affected
1   10      =
2   5        =<
3   1        !=

イベント毎にaffectedでvalueの値を判定し、Trueのみ表示したいです。
(例だと6で検索するとNo2,3の両方が取れるようにしたいです。)
何か良い方法無いでしょうか。

0 Karma
Highlighted

Re: フィールドの値を使用して判定を行いたい

Explorer

Splunkで使える比較演算子は6つなので、力技ですがcase文に全ていれてしまってはどうでしょうか。

YOUR_SEARCH OR INPUTLOOKUP
| eval i = 6
| eval flag=case(affected="=",if(value=i,"true","false"),affected="!=",if(value!=i,"true","false"),(affected="=<" OR affected="<="),if(value<=i,"true","false"),(affected="=>" OR affected=">="),if(value>=i,"true","false"),affected="<",if(value<i,"true","false"),affected=">",if(value>i,"true","false"))
| where flag="true"
0 Karma