Splunk Search
Highlighted

正規表現を使用しない場合のカラム名変換について

Explorer

カラム名の変換方法について教えてください。

正規表現を使用せずにSplunk側で処理が出来て読み込めたデータがありますが、カラム名を変更したいと思います。
Splunk側で読み込んだデータに対してカラム名を変更することは可能ですか?

Tags (3)
0 Karma
Highlighted

Re: 正規表現を使用しない場合のカラム名変換について

SplunkTrust
SplunkTrust

Hi PISC,

if google did translate this correctly and I get it correct, you can use rename to change names of fields used in column. For example:

... | rename user AS myUser | ...

or

... | rename count AS myCount | ...

Also, you can name fields also directly in chart or timechart like this:

... | timechart values(count) AS myCount by host

hope this helps ...

cheers, MuS

Highlighted

Re: 正規表現を使用しない場合のカラム名変換について

Motivator

Language should never be a barrier 🙂

Highlighted

Re: 正規表現を使用しない場合のカラム名変換について

Explorer

ご回答ありがとうございます。

「サーチ」のrename関数を使用するわけではなく、Splunkにデータが取り込まれた際に決定するカラム自体を変更したいです。

調べたところ、props.confにエイリアスを入力すれば目的としていることが出来ました。

0 Karma