「 splunk 」 一覧

Splunk sortの上限件数に注意

2019/09/04   -splunk
 

sortコマンドには上限件数があり、デフォルトでは10,000件になります。そのため、10,001件以上のデータをデフォルト設定でsortすると10,001件目以降のデータが切り捨てられてしまいます。 …

Splunk 正規表現でフィールドを抽出・置換する

2019/08/31   -splunk
 

今回はSplunkで正規表現を使ってフィールドを抽出・置換します。慣れないと難しいですが、思い通りに抽出できると気持ちいいです。 正規表現を使ったフィールド抽出 コマンド rexコマンドを使って抽出し …

Splunk フィールドのフォーマットを変更する

2019/08/18   -splunk
 

フィールドの文字列変換や数値変換、日付操作したいときに使うコマンド(fieldformat)と関数(tostring,tonumber)を紹介します。フォーマット系の関数は沢山あるので、少しづつ追加し …

Splunk ダッシュボードでクリック時にトークンを設定してドリルダウンする

2019/07/28   -splunk
 

ダッシュボードのパネル上のデータをクリックするとドリルダウンして、別パネルに選択したデータをする実装を紹介します。ドリルダウン機能は分析に必須なので重宝する機能です。 サンプルデータ 以下のサーチ分で …

Splunkコマンド 「streamstats」でフィールド(カラム)毎に値を累計

2019/06/16   -splunk
 

フィールド毎に値を累計したい場合は、「streamstats」を使います。「accum」コマンドでも累計可能ですが、累計単位を指定した累計ができないので「streamstats」を使います。「even …

Splunkコマンド 「accum」でフィールドの累計値を算出

2019/05/26   -splunk
 

accumコマンドを使うと、数値フィールドの累計値を算出できます。例えば、日付順にデータを累計したい場合に使います。 サンプルコード 結果 元データ makeresultsコマンドで生成しています。 …

Splunkコマンド 「return」でサブサーチの結果をメインサーチに返却

2019/05/12   -splunk
 

「return」コマンドは、サブサーチの結果をメインサーチに返却します。使いこなすと用意にデータの絞り込み、サーチ処理を効率化できたり、返却した値を別フィールドに設定することができます。 サンプルデー …

Splunkコマンド 「dedup」で重複を削除

2019/05/01   -splunk
 

「dedup」は、イベントの重複を削除するコマンドです。フィールドを指定して並び替えて1件目のデータだけを残すなど、利用ケースは多いです。 元データ 結果 サンプルコード 単フィールドをキーに重複排除 …

Splunk 最新のデータセット(source)を取得する方法

2019/04/20   -splunk
 

同じソースタイプのデータ(ソース)を複数取り込んだ場合に、最新のデータ(ソース)のみをサーチの対象とする方法です。 前提 取り込むファイル名はタイムスタンプなどが設定されてユニークにする必要があります …

Splunk サブサーチ(subsearch)使い方と上限について

2019/04/14   -splunk
 

searchの中で、別のsearchを実行したい場合、サブサーチ(subsearch)を使います。便利ですが、サブサーチの件数には上限がありますので、注意が必要です。 使い方 [] カッコ(squar …

Copyright© Tech Log , 2020 All Rights Reserved Powered by STINGER.