「makeresults」はデータソースが何もない状態から、イベントデータを作成するコマンドです。
以下の場合に使ってます。
- フィルタに日付を表示させたい時
- サーチ分をお試しで作りたい時
サンプルコード
日付の一覧を作成するサンプル
| makeresults | eval key="Date",dateFrom = now(),dateEnd =now() + (3600*24*30) | untable key,"event","date" | makecontinuous date span=24h | where date >= now() | eval dateutc = strftime(date,"%Y-%m-%d") | fields dateutc
今日〜30日後の日付の一覧が作成されます。
「makeresults」
| makeresults
サーチ分の先頭で、「makeresults」コマンドを実行します。
実行すると、_timeカラムにnowが設定された1イベントが作成されます。
リストの開始日・終了日の指定
| eval key="Date",dateFrom = now(),dateEnd =now() + (3600*24*30) | untable key,"event","date"
日付リストの開始日と終了日を指定し、untableでいー感じ(よくわかってないw)にします。
(サンプルの終了日は30日後を設定しています。)
開始日・終了日の間のデータを作成
| makecontinuous date span=24h | where date >= now()
「makecontinuous」で24h単位で開始日と終了日の間のデータを作成します。
nowと比較しているのは、なぜか前日分のデータも作成されてしまったためです。(理由は謎です)
フォーマット変換
| eval dateutc = strftime(date,"%Y-%m-%d") | fields dateutc
「strftime」でフォーマット変換して、必要なフィールドのみ抽出します。
まとめ
Dashboardのフィルタで、この一覧を使ったりしてます。