k2-ornata(個人的「やってみたこと」ブログ)

Splunk SPL で出現数の少ない順番にTop10を表示させる(tailマクロ)

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

tail マクロを利用すれば、特定の項目の出現回数を少ない順番に表示させることができます。

SPLの書き方

下記のSPLは、dest_ip(通信先)毎に出現回数をカウントし出現数の少ないTop10を表示させるSPLの例です。

sourcetype="fgt_traffic"
| stats count by dest_ip
| sort - count
| tail 10

実際に実行するとこうなります。

Splunkでのtailマクロ実行例

ちなみに多い順にTop10を表示させたい場合は、headを利用します。

Splunk SPL で特定の項目の出現回数をカウントする(statsマクロで count)

Related posts:

  1. Splunk SPL で特定の項目の出現回数をカウントする(statsマクロで count)
  2. Splunk SPL で特定の項目の平均値と中間値を求める(statsマクロで max と median)
  3. Splunk SPL で時間(_time)を指定した範囲でグループ化する(bucket, binマクロ)
  4. Splunk SPL で特定の項目の出現回数でカウントし、さらにそのカウント数毎にカウントする

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA