Splunk SPL でtimechartマクロを使ってタイムチャートを作成する

bucket もしくは bin を利用して _tme を指定した時間の幅に分割した後、timechart マクロを使用すれば、タイムチャートを表示させることができます。

SPLの書き方

下記のSPLは、ログデータを1日毎に分割し、それぞれの時間内での dstip（通信先）毎の出現回数をカウントし表示させるSPLの例です。

sourcetype="fgt_traffic"
| bucket span=1d _time
| timechart count by  dstip

実際に実行するとこうなります。

参考サイト：

・コアラでもわかるSplunkシリーズ　時間毎集計する（Qiita）
https://qiita.com/toshikawa/items/8fa44753bc8f2a4c9cb0