Что вы подразумеваете под "сверлить"?У Splunk такой концепции нет.
Я бы, вероятно, подошел бы к этому, разделив поле Org_structure на компоненты и позволив пользователю выбрать, какой компонент использовать для группировки.В этом примере $component$ - это токен, выбранный пользователем (возможно, из раскрывающегося списка), и содержит один из следующих параметров: «пользователь», «менеджер», «директор», «vp» или «cio».
... | eval components=split(Org_structure, "/")
| eval user=mvindex(components, 0), manager=mvindex(components, 1), director=mvindex(Org_structure, 2), vp=mvindex(components, 3), cio=mvindex(components, 4)
| stats avg(KPIScore) as KPIScore by $component$