お世話になります。 アラートのSPL内でcaseを使っており、その戻り値（AもしくはB）をフィールド「C」に代入し、フィールド「C」の値をアラートメールの件名に記載する設定を行っています。 ）例 　SPL（一部抜粋）：| eval C=case(action == "allow" OR action == "alert", "A", action != "allow" AND action != "alert", "B") 　件名+$result.C$ SPLの検索結果が1イベントであるときは問題ないのですが、複数のイベントが検知されて イベント毎に戻り値が異なる場合に想定通りの挙動にならず困っています。 ）例 　・1つ目のイベント戻り値：B 　・2つ目のイベント戻り値：A 　⇒件名には「件名+B」が挿入される 以下のようにしたいのですが実現可否および方法についてご教示いただけますでしょうか。 ・SPLで検索されたイベント内で1件以上戻り値「A」が含まれている場合は「件名+A」にする ・SPLで検索されたイベント内に戻り値「A」が含まれていない場合は「件名+B」にする 以上、よろしくお願いいたします。 ... View more