ダミーデータについて

検索コマンドの動作確認をするためにサンプルデータが必要な場合、makeresultsコマンドを利用することでデータの取り込み設定などを実施せずに、サンプルデータを生成することができます。

尚、makeresultsコマンドを利用した場合、データはインデックスされませんので実施検索内でのみ利用可能なデータとなります。

makeresultsコマンドについて

makeresultsコマンドは、検索が実行された時刻を画面に表示するコマンドです。

以下のように検索を実施することで、使用できます。

| makeresults

※|を検索文の一番初めに記載します。

evalコマンドと併用することで、別のフィールドを作成することも可能です。

例:

| makeresults | eval user="Taro", ip="1.1.1.1"