Блог

Я хотел бы написать в splunk вложенный цикл if: чего я хочу достичь

 if buyer_from_France: 
   do eval percentage_fruits
   if percentage_fruits> 10:
        do summation
        if summation>20:
                   total_price
                   if total_price>$50:
                              do(trigger bonus coupon)
 

Мой текущий код (который работает):

 > | eventstats sum(buyers_fruits) AS total_buyers_fruits by location
> | stats sum(fruits) as buyers_fruits by location buyers 
> | eval percentage_fruits=fruits_bought/fruits_sold 
> | table fruits_bought fruits_sold buyers
> | where percentage_fruits > 10
> | sort - percentage_fruits
 

Как мне завершить синтаксис/выражение для 2-го (суммирование) и, следовательно, 3-го (общая цена), 4-го цикла if (триггер)?

SPL не делает «петли». Близким [достаточно] аналогом является то, что каждая строка в SPL похожа на одну команду в bash (отсюда разделитель каналов между командами). IOW, SPL является чисто линейным в обработке. Используйте eval..if мультиусловие,подобное этому:

 index=ndx sourcetype=srctp 
| eval myfield=if(match(fieldA,"someval") AND !match(fieldC,"notthis"),"all true","else val")
 

Или вот так:

 | eval myfield=if(match(fieldA,"someval"),if(match(fieldB,"otherval"),"matched Aamp;B",if(!match(fieldC,"notthis"),"not A amp; not C","else val")))
 

Если вы сможете лучше объяснить свой вариант использования/конечную цель, мы, вероятно, сможем дать лучшее направление