Splunk SPL で出現数の少ない順番にTop10を表示させる(tailマクロ)

tail マクロを利用すれば、特定の項目の出現回数を少ない順番に表示させることができます。

SPLの書き方

下記のSPLは、dest_ip(通信先)毎に出現回数をカウントし出現数の少ないTop10を表示させるSPLの例です。

sourcetype="fgt_traffic"
| stats count by dest_ip
| sort - count
| tail 10

実際に実行するとこうなります。

Splunkでのtailマクロ実行例

ちなみに多い順にTop10を表示させたい場合は、headを利用します。

http://k2-ornata.com/splunk-spl_stats_count/

関連投稿:

  1. Splunk SPL で特定のフィールドの出現回数をカウントし、多い順に表示させる方法
  2. Splunk SPL で特定の項目の平均値と中間値を求める(statsマクロで max と median)
  3. Splunk SPL で時間(_time)を指定した範囲でグループ化する(bucket, binマクロ)
  4. Splunk SPL で特定の項目の出現回数でカウントし、さらにそのカウント数毎にカウントする

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA