CyberSecurity/Splunk4 [SPL] Timechart Timechart timechart는 chart 커맨드와 매우 유사하나 data를 plot할때 항상 x축 위에는 time 을 그린다. BY 절을 이용하여 원하는 필드를 특정할 수 있다.(해당 필드의 값들은 column에 위치하게 된다. index = main sourcetype=access_combined_wcookie |timechart count ### _time count -------------------- 2019-12-04 1220 2019-12-05 5784 ... visualizaition 탭으로 이동하여 다양한 차트들을 확인할 수 있다. Specifying Time Span span은 데이터 간격을 의미하고 다음과 같이 쿼리에 추가하여 특정할 수 있다. index = main source.. 2022. 6. 30. [SPL] Chart Chart chart는 stats와 유사하며 컬럼 차트, 파이 차트 등 visualization에 매우 유용하게 사용되는 커맨드다. by 절을 한번 사용했을 떄는 stats와 정확하게 동일한 결과를 보인다. ... | chart count by server ### server count --------------- earth 3 pluto 2 saturn 1 venus 1 다만 by를 두번 사용했을 경우, stats는 granular grouping의 형태로 계속 묶어나가지만 chart는 첫번째 by 필드를 row-split field로, 두번째 by 필드를 column-split field로 분할한다. 다음 예시를 보면 쉽게 이해할 수 있을 것이다. ... | chart count BY server, .. 2022. 6. 30. [SPL] Top and Rare Top, Rare 특정 필드의 value가 가장 많은 순(top) 부터 나열하거나 가장 적은 순(rare)부터 나열하는 커맨드 VendorID의 수를 기준으로 top 3를 보고 싶으면 다음과 같다. 자동으로 count와 percent 필드를 생성한다. index=main sourcetype=vendor_sales | top limit=3 VendorID ### VeindorID count percent ------------------------------------ 1060 135 0.446 7014 133 0.443 1015 128 0.107 showperc 옵션을 통해 v퍼센트 필드를 제거할 수 있다. ... | top limit=5 VendorID showperc=f 또한 stats 처럼 top이.. 2022. 6. 30. [SPL] Stats Stats 통계적 목적에 맞게 인풋 값을 변환시켜 테이블을 생성해주는 SPL 명령어 Transforming commands에 속함 Syntax avg, count, sum 등 stats-function을 기반으로 항상 field 값을 기준으로 계산 BY 는 SQL의 group by와 유사, by가 없을 경우 항상 한 줄(row)의 결과값을 출력 ## syntax stats stats-function(field) [BY field-list] ## basic form ... | stats sum(kb) # min(kb), max(kb), avg(kb)의 세개의 컬럼으로 구성된 row 생성 ... | stats min(kb), max(kb), avg(kb) # fields 파라미터 내에는 wild card 사.. 2022. 6. 22. 이전 1 다음