bucket もしくは bin を利用して _tme を指定した時間の幅に分割した後、stats マクロを使用しすれば、その時間の幅毎に特定の項目の出現回数を表示させることができます。
SPLの書き方
下記のSPLは、ログデータを1時間毎に分割し、それぞれの時間内での dstip(通信先)毎の出現回数をカウントし表示させるSPLの例です。
sourcetype="fgt_traffic"
| bucket span=1h _time
| stats count by _time dstip
実際に実行するとこうなります。
さらに、1時間で1,000回以上のアクセスがあったdstipを抽出するには以下の通り記載します。
sourcetype="fgt_traffic"
| bucket span=1d _time
| stats count by _time dstip
| where count > 1000
| table _time dstip count
こちらも実際に実行すると以下の通りとなります。
参考サイト:
・コアラでもわかるSplunkシリーズ 時間毎集計する(Qiita)
https://qiita.com/toshikawa/items/8fa44753bc8f2a4c9cb0
コメントを残す