HOME
Lv019

「Lv019」の記事一覧

検索結果の生データ（_raw）から動的にフィールドを抽出する「Search-time extraction」はどのタイミングで行われるか。

サーチ実行時に設定ファイルに基づいて動的にフィールドが生成されます。

2026年3月23日

tstatsにおいて、特定の期間ごとに集計を行うために使用する句はどれか。

tstatsでは集計軸をgroupby句で指定し、時間粒度をspanで定義します。

2026年3月23日

データモデルの「アクセラレーション」がバックグラウンドで実行されていることを確認する画面はどれか。

Data Models設定画面の「Edit」メニューからアクセラレーションの状態を確認できます。

2026年3月23日

CIMの「Email」データモデルにおいて、メールの送信元アドレスを格納するフィールド名はどれか。

CIMでは送信者はsrc_user（またはsrc）、受信者はdestにマッピングされるのが標準的です。

2026年3月23日

ルックアップ定義において、入力フィールドと出力フィールドを対応付ける設定はどれか。

Splunk Webのルックアップ定義画面にて、どのフィールドを元にどの値を得るかをマップします。

2026年3月23日

マルチバリューフィールドの各要素を個別のイベントとして展開するコマンドはどれか。

mvexpandは1つのイベントにある複数の値を、値の数だけのイベント行に分割します。

2026年3月23日

REXコマンドで、直前の文字が「1回以上」出現することを示すメタ文字はどれか。

プラス記号（+）は、少なくとも1回の一致を要求する量指定子です。

2026年3月23日

フィールド「ip」の値を元に、そのホスト名を逆引き解決するコマンドはどれか。

dns_lookupなどの外部ルックアップ定義を使用してIPからホスト名を導出します。

2026年3月23日

文字列「splunk_rocks」から「rocks」の部分だけを切り出す関数はどれか。

substr(field, start, length)関数を使用して文字列の特定範囲を抽出します。

2026年3月23日

サーチ文において「NOT」を使用する場合、最もパフォーマンスが良い書き方はどれか。

サーチの基本条件（ブルームフィルタの活用）としてNOTを指定する方が、コマンド実行より高速です。

2026年3月23日