k2-ornata(個人的「やってみたこと」ブログ)

SplunkのSPLで検索対象とするログの時間帯を指定する

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

Splunkでログを検索するときに、検索フィールドの横にある選択リスト?から対象となるログの時間帯を選ぶことが多いですが、SPLで直接指定する方法もあると思い調べてみました。

以下のように記載すると、10年前から1年前までのログを検索してくれるようです。

index=botsv1 earliest=-10y@y latest=-1y@y

なお、以下のように記述すると、統計的に20件以上発生しているsrc_ip をトップから表示してくれます。

index=botsv1 earliest=-10y@y latest=-1y@y| top limit=20 src_ip

また table を利用すると項目を絞って(以下の例の場合、_time, app, dest_ipのみ)ログを表示してくれます。

index=botsv1 earliest=-10y@y latest=-1y@y
| table _time, app, dest_ip

Related posts:

  1. Splunk社が提供するBOTS環境でSPL言語を勉強する
  2. Docker上でCentOSを動かしてMacOSからファイルをコピーしてみた
  3. App Storeからダウンロードした Adobeの体験版を解約する方法
  4. MISP と Splunk をREST APIで連携させて、特定のイベントのMD5をSplunk上に表示させてみた

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA