Splunk - ソースタイプの一覧を取得したい

検証環境

Splunk Enterprise 9.2.1

はじめに

Splunkで今使ってるソースタイプ一覧をSPLで取得してみた話。

SPL

[1] metadata

SPL

| metadata type=sourcetypes index=*

metadataコマンドの使い方はSearch Referenceを参照
https://docs.splunk.com/Documentation/Splunk/latest/SearchReference/Metadata

[2] tstats

SPL

| tstats count where index=* by sourcetype

終わりに

metadataコマンドはソースタイプだけでなく、ソース、ホストのリストも表示する事が可能で便利。