Splunk의 makeresults

테스트용으로 간단한 테이블 구조 만들 때 유용한 makeresults.

그런데 레코드 추가는 만만치 않다. eval 명령으로 필드를 추가하면 (같은 필드 이름 사용 시) 최종 필드가 이전 필드를 덮어써버림.

해법은 세 가지

append 명령으로 하위 makeresults 실행 결과를 추가하거나,

csv나 json 포맷을 이용해서 처음부터 완성된 테이블 구조를 만들거나,

단일 레코드로 추가된 필드를 멀티로 가공하거나.

관련 글

• Splunk의 makeresults - 2nd