このトピックでは、SPL データセットの使用方法を説明し、例を示します。
カテゴリ
名前付きデータセット
.let 命令は、名前付きデータセットを定義します。このデータセットは、後続の構造化プロセス言語 (SPL) 式の入力として使用され、$ 記号で参照されます。
名前なしデータセット
.let 命令を使用しない SPL 式は、名前なしデータセットを生成します。結果は直接出力されます。
例
次の SPL の例では、次の出力が生成されます:
名前付きデータセット: 名前付きデータセット 'valid' は、mode フィールドの値が 'a' であるデータを含みます。
名前なしデータセット: 名前なしデータセットには、mode フィールドを含まないか、または mode フィールドの値が 'b' であるデータが含まれます。
-- mode フィールドを含まないデータをフィルタリングします。これにより、名前なしデータセットが生成され、直接出力されます。
*
| where mode is null;
-- mode フィールドを含むデータをフィルタリングし、名前付きデータセット 'src' として定義します。これは出力されません。
.let src = *
| where mode is not null;
-- 名前付きデータセット 'src' を入力として使用します。結果をデータセット 'valid' として定義します。これは出力されません。
.let valid = $src
| where mode = 'a'
| parse-regexp content, '(\S+)\s+(\S+)\s+(\S+)' as x, y, z
| project x, y, z;
-- 名前付きデータセット 'valid' を出力します。
$valid;
-- 名前付きデータセット 'src' を入力として使用します。これにより、名前なしデータセットが生成され、直接出力されます。
$src
| where mode = 'b'
| parse-csv content as u, v
| project u, v;