k2-ornata(個人的「やってみたこと」ブログ)

Splunk SPL で特定の項目の出現回数をカウントする(statsマクロで count)

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

stats マクロで count を利用すれば、特定の項目の出現回数を表示させることができます。

SPLの書き方

下記のSPLは、dest_ip(通信先)毎に出現回数をカウントし表示させるSPLの例です。
なお、それぞれのdest_ipの出現回数をカウントした後、カウントが多い順に10件表示しています。

sourcetype="fgt_traffic"
| stats count by dest_ip
| sort - count
| head 10

実際に実行するとこうなります。

Splunkでの検索結果1

グラフ表示

上記検索を行った後、「視覚エフェクト」を選択すると、結果をグラフ表示することも可能です。

Splunkでの検索結果2

参考サイト:

・Splunk: Splunk入門(SPL編 3/6) – よく使用する統計関数11選
https://qiita.com/frozencatpisces/items/360b4a38212fe1876dbc

Related posts:

  1. Splunk SPL で特定の項目の平均値と中間値を求める(statsマクロで max と median)
  2. Splunk SPL で時間(_time)を指定した範囲でグループ化する(bucket, binマクロ)
  3. Splunk SPL で特定のフィールドの出現回数をカウントし、多い順に表示させる方法
  4. Splunk のVirusTotal Addon(vt4splunk)で現在のPCの通信状況を確認してみた

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA