目次
SPLコマンド一覧
▼RENAMEコマンド
rename
| TABLE <変更したい既存フィールド名> ,<新しいフィールド名>
・設定されているフィールド名を好きなフィールド名に変換できる。
・誰にでも可視化しやすくなる。
rename_例1_「dest_ip」を「送信先IPアドレス」にリネーム
| index="sample" sourcetype="example"
| RENAME dest_ip AS 送信先IPアドレス
rename_例2_複数リネームし、リネーム前後のフィールドをTABLE表示
| index="sample" sourcetype="example"
| RENAME dest_ip AS 送信先IPアドレス ,src_ip AS 送信元IPアドレス
| TABLE dest_ip ,送信先IPアドレス ,src_ip ,送信元IPアドレス
・rename_例2_結果
・例2ポイント:
リネーム前のフィールド名はサーチしてもデータ表示されなくなる。
▼evalコマンド
eval
| eval <新しく定義したいフィールド名> = (フィールドを定義する条件)
・新しいフィールドを作成するコマンド。
・eval関数などの計算の結果をフィールドに書き込む。
eval_例_numberフィールドに1足した数を足し算フィールドに置き換えてTABLETABLE表示する
| index="sample" sourcetype="example"
| eval 足し算= SUM(number + 1)
|TABLE number ,足し算
・eval_例_結果
▼sortコマンド
sort
| sort <フィールド名>
・フィールドの値を並び替えたり、結果出力制限ができる。
・昇順、降順。
・優先順位を付けて、複数のフィールドを並び替えることも可能。
・出力結果の数も指定可能。
sort_例1_出力結果4個のnumber昇順
| index="sample" sourcetype="example"
| sort 4 number
| table number
・sort_例1_結果
sort_例2_number降順
| index="sample" sourcetype="example"
| sort - number
| table number
・sort_例2_結果
sort_例3_出力結果5個のnumber降順下うえでdate降順
| index="sample" sourcetype="example"
| sort 5 - number , - date
| table number ,date
・sort_例3_結果
sort_例4_出力結果無限のdate昇順
| index="sample" sourcetype="example"
| sort 0 date
・例4ポイント:
出力結果の数を「0」にすると、結果表示される上限を無くすことができる。
※デフォルトだとソート機能は1万行が上限なので、上限超過すると結果が切り捨てられる。
▼fieldsコマンド
fields
| fields <表示したいフィールド名>
| fields - <非表示したいフィールド名>
| fields <並びたい順番にフィールド名1> ,<並びたい順番にフィールド名2> ,・・・
フィールドの表示や非表示を行う。
フィールドの並び順も変更もできる。
fields_例1_TABLE表示から、mydateとmytimeのみを表示させる
| TABLE src_ip ,dest_ip ,mydate ,mytime ,url
| fields mydate ,mytime
・fields_例1_結果
fields_例2_TABLE表示から、mydateとmytimeを非表示にする
| TABLE src_ip ,dest_ip ,mydate ,mytime ,url
| fields - mydate ,mytime
・fields_例2_結果
fields_例3_TABLE表示から、src_ipとdest_ipを非表示、url、mytime、mydateの順番に並び替える
| TABLE src_ip ,dest_ip ,mydate ,mytime ,url
| fields - src_ip ,dest_ip
| fields url ,mytime ,mydate
・fields_例3_結果
・例3ポイント
表示等と順番並び替えはまとめて出来ないので、別々に行う必要がある。