k2-ornata(個人的「やってみたこと」ブログ)

Splunk SPL で特定のフィールドの出現回数をカウントし、多い順に表示させる方法

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

stats マクロで特定のフィールドの値の出現回数をカウントし、それを sortマクロで多い順に並べ替えることで実現できます。

index="(インデックス名)" sourcetype="(ソースタイプ名)" (フィールド名)=(カウントしたい値)
| stats count by (カウントしたいフィールド名)
| sort - count

(カウントしたいフィールド名)に src_ip や hostname など、カウントしたいフィールド名を入れます。

なお、1行目は index 以外は任意(必須ではない)です。

また、”|”は半角になっている必要があるので注意。(全角にすると”|”が緑色になります。)

Related posts:

  1. WordPressサーバに導入したmodsecurityのログを確認する方法
  2. Splunk基本操作を確認してみた(フィールドの抽出と指定フィールドの表示)
  3. Snort3をMacにインストールしてみた
  4. Splunk社が提供するBOTS環境でSPL言語を勉強する

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA