Splunk의 조건문

스플렁크 조건문 사용 시 주의사항. 먼저 CASE 조건문. 조건이 참일 땐 문제 없다.

조건이 거짓이면 원본 필드값이 사라짐.

이런 결과를 막으려면 조건이 거짓일 때의 동작도 명시해줘야 한다.

true()를 이용해서 항상 참인 두 번째 조건을 줄 수도 있음.

IF 조건문

조건이 거짓일 때 null() 동작을 지정하면 필드값이 사라진다. 아무 것도 하지 않는다는 의미인 줄 알았는데(..)

기존에 없던 새 필드를 만들 때는 상관 없지만, 기존 필드를 이용한 2차 가공 작업 시엔 주의 필요.

관련 글

• Splunk의 makeresults
• Splunk의 fillnull
• Splunk의 역슬래시
• Splunk의 chart 정렬
• Splunk의 대소문자 구분