「テーブルを分ける」というご要望の理解ができていませんが、以下のようなサーチ例は要件にマッチしますでしょうか。 3行目まではサンプルデータ作成用ですので、4行目以降をご参考にしてください。 | makeresults | eval _raw="hostname:hogehoge#group:[#{#groupname:GroupA#}#{#groupname:GroupB#}#]" | rex field=_raw mode=sed "s/#/\n/g" | rex field=_raw "hostname:(?<hostname>.*)" | rex field=_raw max_match=0 "groupname:(?<groupname>.*)" | table groupname hostname | mvexpand groupname ... View more

starttime と endtimeをサブサーチに返してもらうことで意図した結果になるのではないでしょうか。 以下、SPLサンプルです。 記載されたcsvデータをcal という名前でlookup定義しています。 index=_internal timeformat=%Y/%m/%d [| inputlookup cal | where date = strftime(now(),"%Y/%m/%d") | rename start_dat as starttime, end_day as endtime | return starttime endtime] ... View more