Splunk SPL でmakemvマクロを使いフィールドのデータをマルチバリューにするまた、マルチバリューデータとは何かについても解説

makemv を利用して特定の区切り文字（デリミタ）が入ったフィールドのデータをマルチバリューに変換し、SPLで扱いやすくします。

なお、マルチバリュー（Multi-value）とは、1つのフィールドの中に「複数の値」が入っている状態のことです。

たとえば、ip のフィールドの中のデータが [192.168.1.1, 10.0.0.5, 172.16.1.10]となっている場合、ipはマルチバリューだということができます。

makemvを使ったSPLの書き方

以下のSPLは makemvマクロを使い、”.”の区切り文字の入ったsiteフィールドのデータをマルチデータとして扱えるようにしています。

source="stream:Splunk_HTTPURI"
| eval org_site=site
| makemv site delim="."
| table org_site site

上記SPLを実際に実行するとこうなります。

参考サイト：

・Splunkでマルチバリューフィールドを扱う （eval関数編）（じゅのぶろ）
https://jnox.hatenablog.com/entry/splunk/eval-multi-value