「 splunk 」 一覧

sortコマンドには上限件数があり、デフォルトでは10,000件になります。そのため、10,001件以上のデータをデフォルト設定でsortすると10,001件目以降のデータが切り捨てられてしまいます。 …

今回はSplunkで正規表現を使ってフィールドを抽出・置換します。慣れないと難しいですが、思い通りに抽出できると気持ちいいです。 正規表現を使ったフィールド抽出 コマンド rexコマンドを使って抽出し …

フィールドの文字列変換や数値変換、日付操作したいときに使うコマンド（fieldformat）と関数（tostring,tonumber）を紹介します。フォーマット系の関数は沢山あるので、少しづつ追加し …

ダッシュボードのパネル上のデータをクリックするとドリルダウンして、別パネルに選択したデータをする実装を紹介します。ドリルダウン機能は分析に必須なので重宝する機能です。 サンプルデータ 以下のサーチ分で …

フィールド毎に値を累計したい場合は、「streamstats」を使います。「accum」コマンドでも累計可能ですが、累計単位を指定した累計ができないので「streamstats」を使います。「even …

accumコマンドを使うと、数値フィールドの累計値を算出できます。例えば、日付順にデータを累計したい場合に使います。 サンプルコード 結果 元データ makeresultsコマンドで生成しています。 …

「return」コマンドは、サブサーチの結果をメインサーチに返却します。使いこなすと用意にデータの絞り込み、サーチ処理を効率化できたり、返却した値を別フィールドに設定することができます。 サンプルデー …

「dedup」は、イベントの重複を削除するコマンドです。フィールドを指定して並び替えて1件目のデータだけを残すなど、利用ケースは多いです。 元データ 結果 サンプルコード 単フィールドをキーに重複排除 …

同じソースタイプのデータ（ソース）を複数取り込んだ場合に、最新のデータ（ソース）のみをサーチの対象とする方法です。 前提 取り込むファイル名はタイムスタンプなどが設定されてユニークにする必要があります …

searchの中で、別のsearchを実行したい場合、サブサーチ(subsearch)を使います。便利ですが、サブサーチの件数には上限がありますので、注意が必要です。 使い方 [] カッコ（squar …