Eval 命令与 eval 表达式
Eval command vs eval expression
好像eval command和eval expression:
是有区别的
评估命令:
eval velocity=distance/time
求值表达式:
stats count(eval(status=404)) AS status_count
请注意,在表达式 eval
的情况下,它被用作参数周围带有括号的函数。我找到了 eval 命令的文档:https://docs.splunk.com/Documentation/Splunk/8.2.3/SearchReference/Eval
是否有 eval 表达式的文档?
任何时候您发现 Splunk 的文档中缺少某些内容,您都应该在相关页面上提交反馈(也许 https://docs.splunk.com/Documentation/Splunk/8.2.3/SearchReference/Stats)。 Splunk 在响应用户反馈更新文档方面非常出色。
作为命令的 eval
和作为函数的 eval
之间的主要区别是前者为字段赋值(也可能创建该字段),而后者 returns外部函数的值(必须始终有一个外部函数)。将 eval
与 stats
结合使用可以使 stats
的计算更加灵活。
好像eval command和eval expression:
是有区别的评估命令:
eval velocity=distance/time
求值表达式:
stats count(eval(status=404)) AS status_count
请注意,在表达式 eval
的情况下,它被用作参数周围带有括号的函数。我找到了 eval 命令的文档:https://docs.splunk.com/Documentation/Splunk/8.2.3/SearchReference/Eval
是否有 eval 表达式的文档?
任何时候您发现 Splunk 的文档中缺少某些内容,您都应该在相关页面上提交反馈(也许 https://docs.splunk.com/Documentation/Splunk/8.2.3/SearchReference/Stats)。 Splunk 在响应用户反馈更新文档方面非常出色。
作为命令的 eval
和作为函数的 eval
之间的主要区别是前者为字段赋值(也可能创建该字段),而后者 returns外部函数的值(必须始终有一个外部函数)。将 eval
与 stats
结合使用可以使 stats
的计算更加灵活。