Splunk - Champ calculé
Alasta 12 Février 2021 splunk splunk admin cli
Description : Nous allons voir comment ajouter un champ calculé
Contexte :
Nous pouvons avoir besoin d’ajouter un champ calculé.
Prérequis :
Avoir un index peuplé, un sourcetype.
Dans cet exemple nous partirons avec la configuration mise en place pour l’article Alias.
Configuration
Ajout au sourcetype
Ici nous allons ajouter un champ qui va permettre de calculer le nombre de bits reçues à partir des bytes reçues.
$ vi $SPLUNK_HOME/etc/apps/alasta-lab-TA-001/local/props.conf
[alasta:forti]
##Ajout
#EVAL-<field_name> = <eval statement>
EVAL-rcvdbit = rcvdbyte * 8Note : bien faire attention aux droits au travers du fichier local.meta.
Redémarrer Splunk puis aller intérroger vos données (contrairement à la production), mettez “all time” dans le timepicker car les logs ne sont pas récentes.
On peut écraser un champ existant, ou seulement si son contenu est null….
Requête pour vérifier l’alias madestinationip :
index="lab_fg01" rcvdbit=*Annexe :
Doc Officielle champ calculé Doc Officielle spécificité du champ calculé