【Splunk】サーチコマンド例

Slunkでログを分析するにはサーチ文を構成するサーチ処理言語(SPL)の理解が必須です。本記事ではよく使うSPLをまとめています。※徐々に更新していきます。

スポンサーリンク

はじめに

サーチコマンドを紹介する前に2つサーチの基本を。

①暗黙のsearhコマンド
splunkのサーチ文では頭に暗黙のsearchが含まれています。そのため、何も考えずサーチボックスに「status=0」と入力すれば検索できるのですが、この場合には「status=0」の前にsearchがついており、正しくは「search status=0」が実行されています。

②パイプでつなぐ
複数のサーチコマンドをつなぐ場合は「|」(パイプ)でつなぎます。例えば、status=0のログ件数をカウントする場合は

status=0 | stats count

となります。

search

目的のログを抽出するために使用するコマンド。searchの後に任意の文字列やフィールド等を使用した条件を付ける。1つのsearchコマンドで複数の条件を指定でき、ANDやORでつなぐ。ANDやORを指定しない場合はANDとして処理される。

sourcetypeを指定
… | search sourcetype = “testlog”

failが含まれており、かつstatusのフィールド値が0

… | search fail status=0

IPアドレスのフィールド値が192.168.0.0/24か10.0.0.0/24

… | search ip=192.168.0.* OR 10.0.0.*

 

dedup

指定したフィールドの値が重複するログを排除するコマンド。アクセス元のIPアドレス一覧を作りたい場合などに便利。

・IPアドレスが重複したログを除いて表示

… | dedup ip

 

■参考・引用
https://www.splunk.com/pdfs/solution-guides/splunk-quick-reference-guide-jp.pdf

 

スポンサーリンク
 

コメント