はじめに
今回は、Splunkユーザのために頻出コマンドを中心にチートシートを作成しようと思います。
頻出サーチコマンド集
■ inputlookup
ルックアップテーブルの内容を読み込む。
| inputlookup ルックアップテーブル名
■outputlookup
サーチ結果をルックアップテーブルに書き込む。
| outputlookup ルックアップテーブル名
■eval
計算結果をフィールドに書き込む。
| eval フィールド名 = 計算式
evalコマンドでは、計算式に様々な関数を利用する。
※頻出の関数に関しては、次項目で紹介するので、そちらを参照する。
■addtotals
列ごとの数字のフィールド値を合計する。
| addtotals
■append
サブサーチの結果をメインサーチの下に行追加(縦結合)する。
メインサーチ
| append[
サブサーチ
]
■chart
チャートグラフを作成する。
フィールドAの値とフィールドB毎の関数結果をチャート表示する。
| chart 関数 over フィールドA by フィールドB
■dedup
サーチ結果において、特定のフィールドに関する重複を削除する。
| dedup フィールド名
■delta
特定のフィールド値の各行で差分計算。
| delta フィールド名
■evenstats
全サーチ結果において、計算結果をフィールドに追加する。
| evenstats 関数 by フィールド名
■fillnull
NULL値を特定の値に変換する。
| fillnull value="xxxxx"
■head
サーチ結果を先頭から指定した行のみ表示する。
| head xxx
■lookup
フィールドAを基にルックアップテーブルを参照し、特定のフィールドBのみを読み込む。
| lookup ルックアップテーブル名 フィールド名A OUTPUT フィールド名B
■rename
フィールド名の名前を変更する。
| rename 変更前フィールド名 as 変更後フィールド名
■rex
正規表現によるフィールド抽出を実施する。
| rex field=xxxxxxxx
■search
indexからイベントサーチを実施する。
| search xxxx
■sort
フィールド内でソートする。
| sort フィールド名
■stats
統計的な計算を実施する。
| stats 関数
■streamstats
全ての結果に対して、累積演算を実施する。
| streamstats 関数
■table
フィールドをテーブル表示する。
| table 表示させたいフィールドをカンマ区切りで実施する。
■timechart
テーブルの行と列を入れ替える。
| timechart span=xxx
■where
サーチ結果を条件で検索する。
| where 条件文
evalで利用できる関数集
■絶対値を返す。
| eval abs(xxxx)
■フィールド値を場合分け