Splunkで結果がない場合、デフォルト値を含む行を挿入する
appendpipeで、結果がない場合に行を追加し、evalでデフォルト値を設定する。
環境
- Splunk: 8.1
例
index="_internal" source="foo" | head 1 | appendpipe [stats count | where count=0 ] | eval host = if(isnull(host), "default value", host)
appendpipeで、結果がない場合に行を追加し、evalでデフォルト値を設定する。
index="_internal" source="foo" | head 1 | appendpipe [stats count | where count=0 ] | eval host = if(isnull(host), "default value", host)