mvappend的用法：mvappend(X,...)，允許你在多值字段中添加新的值，對(duì)于處理多個(gè)值的數(shù)據(jù)很有用，如 IP 地址、標(biāo)簽、權(quán)限等。

源數(shù)據(jù)：

ip_address? ? user

-----------------

10.1.1.1? ? ? John

10.2.2.2? ? ? Mary

假設(shè)你的事件有兩個(gè)字段：ip_address?和?user，其中?ip_address?是多值字段，保存多個(gè) IP 地址，而?user?是普通的單值字段，保存用戶名?，F(xiàn)在，你要將另一個(gè) IP 地址?10.3.3.3?添加到每個(gè)事件的?ip_address?字段中。

code：

your_search
| eval ip_address=mvappend(ip_address, "10.3.3.3")

查詢結(jié)果：

ip_address? ? ? ? ? ? ? ?user

--------------------------------

10.1.1.1, 10.3.3.3? ? ? ? John

10.2.2.2, 10.3.3.3? ? ? ? Mary

可以看到，在每個(gè)事件的?ip_address?字段中，新的 IP 地址?10.3.3.3?被添加到了現(xiàn)有的 IP 地址之后。