Вы просматриваете документацию для Splunk Data Stream Processor (DSP), который не является Splunk Enterprise. DSP - это продвинутый метод передачи данных в Splunk Enterprise (среди прочего). Скорее всего, вы выполняете поиск в Splunk Enterprise, а документы для этого находятся по адресу https://docs.splunk.com/Documentation/Splunk
. Если вы пытаетесь переименовать часть поля и заменить ее на ничего, вам нужно использовать команду replace
... | eval hostname=replace(hostname, "cron*", "") | ..
Например, | makeresults | eval hostname="cronmaster.acme.com" | eval hostname=replace(hostname, "cron", "") удалит cron из cronmaster.acme.com
Разместите пример строка и то, во что вы хотите ее преобразовать, и мы можем подтвердить, достаточно ли замены или требуется ли регулярное выражение.