1 字符串处理
1.1 coalesce(X,...) 字段合并
描述
字段合并,组成一新的字段,另见isnull
示例
... | evalip=coalesce(clientip,ipaddress)
1.2 lower(X),upper(x) 大小写转换
描述
大小写字母
示例
1.3 ltrim,trim,rtrim字符削减
描述
修剪左边、右边或全字段中的特定字符
示例
... | eval x=ltrim(" ZZZZabcZZ ", " Z") 返回abcZZ
... | eval x=rtrim(" ZZZZabcZZ ", " Z") 返回ZZZZabc
... | eval x=trim(" ZZZZabcZZ ", " Z") 返回abc
1.4 substr(X,Y,Z)  字符数量削减
描述
缩减字符串长度,可以从左边数(从1开始),也可以从右边数(从-1开始),
示例
source="Perfmon:cpu" |eval Value1=substr(Value,-2) |eval Value2=substr(Value, 1, 3)| table  Value Value1 Value2
1.5 split(X,"Y") 字段分离
描述
示例
1.6 replace(X,Y,Z) 字段取代
描述
示例
... | eval description=case(error == 404, "Not found", error == 500, "Internal Server Error", error == 200, "OK")
1.7 len(X) 返回字段长度
1.8 typeof(X)  返回字段类型
1.9 字符串截取小数点tonumber("X",Y)  数字转换
描述
This function converts the input string X to a number, where Y is optional and used to define the base of the number to convert to. Y can be 2..36, and defaults to 10. If it cannot parse the input to a number, the function returns NULL.
示例
This example returns "164":
... | eval n=tonumber("0A4",16)
1.10 tostring(X,Y)  字符串格式化
描述
将输入格式化为字符串,如果是布尔数值,则返回true或false,
选项”y”:
hex: 转换为16进制,
commas: 把字符串加上逗号,如果有小数点,则保留到两位
duration: 将秒数转换为可读的时间,x小时x分钟x秒
示例
index="cisco_ucs" | eval n=tostring(lmt)+tostring(dt) | eval n1=tostring(n, "commas")| table dtlmt n n1
1.11 urldecode(X)  返回净URL
描述
返回纯粹的URL字符串
示例
This example returns "www.splunk/download?r=header": |
eval n=urldecode("http%3A%2F%2Fwww.splunk%2Fdownload%3Fr%3Dheader")
1.12 spath(X,Y)  XML字段提取
描述
从JSON或XML中提取字段
示例
... | evallocDesc=spath(_raw, "vendorProductSet.product.desc.locDesc")
1.13 null()  空值

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。