Splunk：mvappend的使用方法

mvappend的用法：mvappend(X,...)，允许你在多值字段中添加新的值，对于处理多个值的数据很有用，如 IP 地址、标签、权限等。

源数据：

ip_address    user

-----------------

10.1.1.1      John

10.2.2.2      Mary

假设你的事件有两个字段：ip_address 和 user，其中 ip_address 是多值字段，保存多个 IP 地址，而 user 是普通的单值字段，保存用户名。现在，你要将另一个 IP 地址 10.3.3.3 添加到每个事件的 ip_address 字段中。

code：

your_search
| eval ip_address=mvappend(ip_address, "10.3.3.3")

查询结果：

ip_address               user

--------------------------------

10.1.1.1, 10.3.3.3        John

10.2.2.2, 10.3.3.3        Mary

可以看到，在每个事件的 ip_address 字段中，新的 IP 地址 10.3.3.3 被添加到了现有的 IP 地址之后。