目次
SPLコマンド一覧
▼dedupコマンド
dedup
・・・ | dedup <重複削除したいフィールド名>
・サーチ結果の重複を削除する。
dedup_例1_statusフィールドをユニークにして、テーブル表示
| dedup status
| table status
・dedup_例1_結果
dedup_例2_複数フィールドを指定、フィールドの組み合わせ単位でユニークなものをテーブル表示
| dedup http_method,status
| table http_method,status
▼fillnullコマンド
fillnull
・・・ | fillnull VALUE="値"
・NULLを指定の値に置換する
・VALUEで値指定しない場合は、「0」となる
fillnull_例1_NULLをNONEに値指定する
| fillnull VALUE="NONE"
| chart COUNT BY Country ,status
・fillnull_例1_結果
fillnull_例2_NULLの値指定をしない
| fillnull status
| chart COUNT BY Country ,status
・fillnull_例2_結果
・例2ポイント:
NULLの値指定をしない場合、「0」で表示される
▼lookupコマンド
lookup
・・・ | lookup <Lookup Table名> <☆Lookup フィールド名> AS <☆と紐づく指定したサーチ上でのフィールド名> OUTPUT <Lookupの出力したい項目>
・Splunkに登録されているLookupファイル(外部参照)を参照して、特定のフィールドを読み込む。
・ルックアップ用のcsvファイルを作成して、Splunkにアップロードされているのが条件
・Lookup_例1_前提条件
lookup_例1_sample.csv(Lookupファイル)とstatus_serverを紐づけて、resultフィールドを抽出する。
| index=status_server
| lookup sample.csv status OUTPUT result
| table status ,result
・例1ポイント:
LookupTableのフィールド名と紐づくサーチ文のフィールド名が一致している場合は「AS」を省略することができる。
・Lookup_例1_結果
・Lookup_例2_前提条件
lookup_例2_sample.csv(Lookupファイル)とstatus_serverを指定したサーチ文のフィールド名と紐づけて、resultフィールドを抽出する。
| index=status_server
| lookup sample.csv ステータス AS status OUTPUT result
| table status ,result ,Country
・Lookup_例2_結果
