【Splunk】サーチコマンド例

Slunkでログを分析するにはサーチ文を構成するサーチ処理言語（SPL）の理解が必須です。本記事ではよく使うSPLをまとめています。※徐々に更新していきます。

はじめに

サーチコマンドを紹介する前に2つサーチの基本を。

①暗黙のsearhコマンド
splunkのサーチ文では頭に暗黙のsearchが含まれています。そのため、何も考えずサーチボックスに「status=0」と入力すれば検索できるのですが、この場合には「status=0」の前にsearchがついており、正しくは「search status=0」が実行されています。

②パイプでつなぐ
複数のサーチコマンドをつなぐ場合は「|」（パイプ）でつなぎます。例えば、status=0のログ件数をカウントする場合は

となります。

search

目的のログを抽出するために使用するコマンド。searchの後に任意の文字列やフィールド等を使用した条件を付ける。1つのsearchコマンドで複数の条件を指定でき、ANDやORでつなぐ。ANDやORを指定しない場合はANDとして処理される。

failが含まれており、かつstatusのフィールド値が0

IPアドレスのフィールド値が192.168.0.0/24か10.0.0.0/24

dedup

指定したフィールドの値が重複するログを排除するコマンド。アクセス元のIPアドレス一覧を作りたい場合などに便利。

・IPアドレスが重複したログを除いて表示

■参考・引用
https://www.splunk.com/pdfs/solution-guides/splunk-quick-reference-guide-jp.pdf