Eval命令与eval表达式

Question

似乎eval命令和eval表达式之间有区别。

Eval命令：

eval velocity=distance/time

Eval表达式：

stats count(eval(status=404)) AS status_count

注意，在表达式的情况下，eval被用作带括号的函数。我找到了eval命令的文档：https://docs.splunk.com/Documentation/Splunk/8.2.3/SearchReference/Eval

有关于eval表达式的文档吗？

Answer 1

当你发现斯普伦克的文档中缺少什么东西时，你应该在相关的页面上提交反馈(也许是https://docs.splunk.com/Documentation/Splunk/8.2.3/SearchReference/Stats)。Splunk在更新文档以响应用户反馈方面非常出色。

eval作为命令与eval作为函数之间的主要区别是前者为字段分配值(可能也会创建该字段)，而后者则返回外部函数的值(必须始终存在外部函数)。使用eval和stats可以在stats计算方面具有更大的灵活性。