tail マクロを利用すれば、特定の項目の出現回数を少ない順番に表示させることができます。
下記のSPLは、dest_ip(通信先)毎に出現回数をカウントし出現数の少ないTop10を表示させるSPLの例です。
sourcetype="fgt_traffic"
| stats count by dest_ip
| sort - count
| tail 10
実際に実行するとこうなります。
ちなみに多い順にTop10を表示させたい場合は、headを利用します。
先週、山口に戻る機会があったので、宇部空港から羽田空港に飛び立つ前に常磐公園にいってきました。
常磐公園というと動物園の印象が強かったのですが、実際にはそれはほんの一部で、植物園や彫刻の丘などがあり、動物園の10倍の広さはあるかと思います。
なかでも自分が見に行きたかったのが、昔懐かしいエバンゲリオンのロンギヌスの槍でした。
どうしてこの公園にそれがあるのか不思議でしたが、作者である庵野さんの出身地だからみたいです。
想像していたよりは小さく、かなり近くにいかないと気が付かないほどですが、実際に見れてよかったです。
ちなみに場所は以下の通りです。駐車場としては、中央入口駐車場に車を停めると近くて便利です。
エバンゲリオンネタとしては、同じ山口の長門峡というところが、シンエバンゲリオンの聖地になっているようですので、もし機会あればあらためて行ってみたいなと思っています。
これをやるには最初のカウントの際に “as” を利用して別名をつけてあげるとうまくいきます。
下記のSPLは、SPLの例です。
sourcetype="fgt_traffic"
| stats count as dest_count by dest_ip
| stats count by dest_count
| sort - count
| head 10
実際に実行するとこうなります。
bucket もしくは bin を利用して _tme を指定した時間の幅に分割した後、stats マクロを使用しすれば、その時間の幅毎に特定の項目の出現回数を表示させることができます。
下記のSPLは、ログデータを1時間毎に分割し、それぞれの時間内での dstip(通信先)毎の出現回数をカウントし表示させるSPLの例です。
sourcetype="fgt_traffic"
| bucket span=1h _time
| stats count by _time dstip
実際に実行するとこうなります。
さらに、1時間で1,000回以上のアクセスがあったdstipを抽出するには以下の通り記載します。
sourcetype="fgt_traffic"
| bucket span=1d _time
| stats count by _time dstip
| where count > 1000
| table _time dstip count
こちらも実際に実行すると以下の通りとなります。
参考サイト:
・コアラでもわかるSplunkシリーズ 時間毎集計する(Qiita)
https://qiita.com/toshikawa/items/8fa44753bc8f2a4c9cb0
先日、神奈川の弘法山と権現山に行ってきました。
弘法山の駐車場は第1と第2駐車場があり、どちらも国道246号の「名古木宮前」という交差点をセブンイレブン側に入ってまっすぐいくと到着します。
実は最初、初めていく山だなと思いながら向かったのですが、到着してみるとなんだか見覚えがあるような、、、実は2回目の登山でした。
駐車場に到着後、まず最初は弘法山を目指したのですが、我々が車を止めた第2駐車場(10台くらい駐車可能、無料!)からはものすごく近くて、多分真っ直ぐ目指せば10分ぐらいで到着してしまいます。
この後、弘法山から権現山をめざしたのですが、このルートがお天気が良く、富士山も見えることもあって絶品でした。
ちょうど小さい公園の広場のようなところがあり、そこにさらにちょうど良い感じで長椅子があったので、そこに座ってコンビニのおにぎりを食べました。
もうそこはずっと座っていてもいいな、というくらい癒される空間でした。
その後、権現山に到着すると、そこは広い公園のような場所でした。また、そこにはバードウォッチングができる場所や展望台などがあり、多くの人がくつろいでいるようでした。
弘法山から権現山に向かうルートは道が整備されており(階段はコンクリート)そんなに急な坂道はない為、家族連れで訪れるには最高の場所だと思いました。
なお、残念ながらここの桜や河津桜ではないらしく(ソメイヨシノ?)まだ咲いていませんでしたが、3月末頃にくればきっと満開になっていることだと思います。
またその頃にきてみたいなと思っています。(でもその時は駐車場がいっぱいかな。)
川崎大師 平間寺のすぐ横にある駐車場は、一見、誰でも車を駐車できそうですが、予約制になっていることがあるので注意が必要です。
特に年末年始は参拝者が多いので、予約制になっていると考えた方がいいと思います。
ここに行った後、川崎大師 自動車交通安全祈祷殿の駐車場に行こうとすると下図の通り道がややこしいので、最初から自動車交通安全祈祷殿の駐車場に行ったほうが無難ですし、大きな祈祷殿が目印になっていてわかりやすいです。
stats マクロで count を利用すれば、特定の項目の出現回数を表示させることができます。
下記のSPLは、dest_ip(通信先)毎に出現回数をカウントし表示させるSPLの例です。
なお、それぞれのdest_ipの出現回数をカウントした後、カウントが多い順に10件表示しています。
sourcetype="fgt_traffic"
| stats count by dest_ip
| sort - count
| head 10
実際に実行するとこうなります。
上記検索を行った後、「視覚エフェクト」を選択すると、結果をグラフ表示することも可能です。
参考サイト:
・Splunk: Splunk入門(SPL編 3/6) – よく使用する統計関数11選
https://qiita.com/frozencatpisces/items/360b4a38212fe1876dbc
stats マクロで avg と median を利用すれば、特定の項目の平均値と中間値を表示させることができます。
下記のSPLは、dest_ip(通信先)毎に最大値(max)、最小値(min)、平均値(avg)、中間値(median)を表示させるSPLの例です。
なお、それぞのれ値を求めた後、最大値(max)が多い順番に並べ替え、最大値(max)が多い順に10件表示しています。
sourcetype="fgt_traffic"
| stats max(bytes_in), min(bytes_in) avg(bytes_in), median(bytes_in) by dest_ip
| sort - max(bytes_in)
| head 10
実際に実行するとこうなります。
上記検索を行った後、「視覚エフェクト」を選択すると、結果をグラフ表示することも可能です。
参考サイト:
・Splunk: Splunk入門(SPL編 3/6) – よく使用する統計関数11選
https://qiita.com/frozencatpisces/items/360b4a38212fe1876dbc
先週あたりから Mac にインストールしている Avira Free Security がHTML/ExpKit.Gen6というマルウェアを検知し始めたようなので、削除してみました。
おそらく FireFoxであるサイトにアクセスしたことで危険なHTMLがダウンロードされたようで、FireFoxを起動するたびにAvira Free SecurityがHTML/ExpKit.Gen6を検知していました。
そこで以下の手順で対応しました。
1.Arcブラウザをインストールし、FireFixのブックマークをインポート
2.FireFoxをアンインストール
3.Aviraにて隔離されているマルウェアを削除
今回は3.の「Aviraにて隔離されているマルウェアを削除」する方法を簡単に説明します。
Aviraで隔離されたファイルの一覧が表示されます。
ロックを解除するとファイルが選択できるようになります。
3.2で選択したファイルが削除できます。
stats マクロで特定のフィールドの値の出現回数をカウントし、それを sortマクロで多い順に並べ替えることで実現できます。
index="(インデックス名)" sourcetype="(ソースタイプ名)" (フィールド名)=(カウントしたい値)
| stats count by (カウントしたいフィールド名)
| sort - count
(カウントしたいフィールド名)に src_ip や hostname など、カウントしたいフィールド名を入れます。
なお、1行目は index 以外は任意(必須ではない)です。
また、”|”は半角になっている必要があるので注意。(全角にすると”|”が緑色になります。)