1. strftime
| eval TM_TEST=strftime(time(),"%Y-%m-%d %H:%M:%S.%6N")
strftime(<time>,<format>)
time() : unix time(epoch time)으로 시간이 들어옴. 기준 시간에서 초 형태로 들어와 우리가 알아볼 수 없기 때문에 포맷을 정해서 바꿔준다.
time() - current time / _time() - splunk에 저장될 때 time
2. fillnull
| fillnull value="-" test1,test2
fillnull : null 값을 value로 바꾼다. -로 채워짐.
test1,test2 : 하나만 있는 경우 하나만 적고, 많은 경우 뒤에 콤마로 쭉 이어적는다.
3. tonumber()
| eval NUM_TEST=tonumber(test)
tonumber() : char로 들어온 값을 number로 변경. 데이터가 여러개의 값으로 예상치 못하게 들어오기 때문에 체크하기 위해 넣어주는 것.