Splunk의 검색 필드 처리 순서

읽기 스키마 기반으로 동작하는 스플렁크의 검색 필드 생성 기능은 처리 순서가 정해져 있다. 다음은 윈도우 이벤트 1과 4688.

이벤트 1은 프로세스명을 별도 추출하는 반면, 4688은 경로가 포함된 정보만을 제공한다. 두 이벤트의 프로세스명을 통일시켜보자. 먼저 이벤트 1의 OriginalFileName 필드명 리네임.

이후 이벤트 4688에서도 이벤트 1과 같은 이름의 process_name 필드 추출. 그런데 이벤트 1에서 추출한 process_name 필드가 사라진다.

선행된 fieldalias 작업 결과인 이벤트 1의 process_name이 후행한 eval 작업에 의해 초기화된 것. 같은 필드명 충돌을 막으려면 하나의 작업 단계에서 일괄 처리해야 한다.

두 이벤트 처리 결과를 coalesce 함수로 통합

관련 글

• Splunk의 eval과 rex