Splunk SPL で特定の項目の出現回数でカウントし、さらにそのカウント数毎にカウントする

これをやるには最初のカウントの際に “as” を利用して別名をつけてあげるとうまくいきます。

SPLの書き方

下記のSPLは、SPLの例です。

sourcetype="fgt_traffic"
| stats count as dest_count by dest_ip
| stats count by dest_count
| sort - count
| head 10

実際に実行するとこうなります。

Splunkでの実行例

関連投稿:

  1. Splunk SPL で特定の項目の出現回数をカウントする(statsマクロで count)
  2. Splunk SPL で特定のフィールドの出現回数をカウントし、多い順に表示させる方法
  3. Splunk SPL で特定の項目の平均値と中間値を求める(statsマクロで max と median)
  4. Splunk SPL で時間(_time)を指定した範囲でグループ化する(bucket, binマクロ)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA