【Splunk】サーチのコマンドでフィールド名と値は大文字小文字を区別しますか
フィールド名は大文字小文字を区別します。
フィールドの値は大文字小文字を区別しません。サーチでフィールドの値で大文字小文字を区別してしまったら混乱の元になるからだと思います。
一方フィールド名は厳密にサーチするために区別しているのだと思います。
【例】
フィールド名:"SourceName"
フィールドの値:"Windows Error Reporting"
の場合。
・フィールドの値は大文字小文字を区別しないため検索される
source="app.evtx" SourceName="windows error reporting"
・フィールド名は大文字小文字を区別されるため、検索されない
source="app.evtx" Sourcename="Windows Error Reporting"
SPLUNK Siem のよくある質問�
個人的に独自に調査した事項をまとめています。各ベンダーとは全く関係がありません。
内容に誤りがある場合や情報が古くなっている場合があります。その場合でも修正されるとは限りません。
参考としてサイト閲覧ください。万が一誤りがあり損失等が発生しても保証しません。あくまでも自己責任でサイトを閲覧ください。