Eval 命令与 eval 表达式

Eval command vs eval expression

好像eval command和eval expression:

是有区别的

评估命令:

eval velocity=distance/time

求值表达式:

stats count(eval(status=404)) AS status_count

请注意,在表达式 eval 的情况下,它被用作参数周围带有括号的函数。我找到了 eval 命令的文档:https://docs.splunk.com/Documentation/Splunk/8.2.3/SearchReference/Eval

是否有 eval 表达式的文档?

任何时候您发现 Splunk 的文档中缺少某些内容,您都应该在相关页面上提交反馈(也许 https://docs.splunk.com/Documentation/Splunk/8.2.3/SearchReference/Stats)。 Splunk 在响应用户反馈更新文档方面非常出色。

作为命令的 eval 和作为函数的 eval 之间的主要区别是前者为字段赋值(也可能创建该字段),而后者 returns外部函数的值(必须始终有一个外部函数)。将 evalstats 结合使用可以使 stats 的计算更加灵活。