| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- javascript
- 알고리즘
- index
- Numpy
- Python
- Lotto
- E-P1
- install
- LSTM
- SPL
- imread
- mean
- DFS
- dataframe
- GT-S80
- GitHub
- synology
- Button
- CNN
- pip
- 삼성소프트웨어멤버십
- SciPy
- pandas
- pycharm
- keras
- Series
- RNN
- ipad
- mariadb
- Splunk
Archives
- Today
- Total
잠토의 잠망경
[Splunk] Study - 2월 21일(time 2) 본문
[Splunk] Study - 2월 21일(time 2)
단축키
자동 정렬: ctrl + \
report 생성
command
긍정문으로 해야 속도가 빠름
pipeline
table
sourcetype="access_combined"
| table clientip, action, productid, stutsrename
sourcetype="access_combined"
| table clientip, action, productid, stuts
| rename clientip as "client"fields -, +
- : 쓸데없는 column 제거용도
dedup
중복 제거용도
sourcetype="access_combined"
| table clientip, action, productid, stuts
| dedup actionsort
sourcetype="access_combined"
| table clientip, action, productid, stuts
| dedup action
| sort -clientip주의
case1
-공백column
sourcetype="access_combined"
| table clientip, action, productid, stuts
| dedup action
| sort - clientip, action위의 경우 clientip, action 모두 내림차순으로 한다는 의미
-column
sourcetype="access_combined"
| table clientip, action, productid, stuts
| dedup action
| sort -clientip, action위의 경우 clientip만 내림차순으로 한다는 의미, action은 오름차순
sourcetype="access_combined"
| table clientip, action, productid, stuts
| dedup action
| sort -clientip, +actionlimit
sourcetype="access_combined"
| table clientip, action, productid, stuts
| dedup action
| sort limit=2 -clientip, +action정렬하고 2개만 보이것다.
top
해당 column의 통계를 내서 순위를 먹인다.
sourcetype="access_combined"
| table clientip, action, productid, stuts
| top clientip limit=5상위 5개를 보여달라
sourcetype="access_combined"
| table clientip, action, productid, stuts
| top clientip, action limit=2clientip, action 둘다를 참고해서 상위 2개만 보여라
rare
하위의 내용을 보이는 것으로 잘 안쓴다.
showperc
percentage를 보여준다.
sourcetype="access_combined"
| table clientip, action, productid, stuts
| top clientip limit=5 showperc=true##stats
count()
distinct()
sum
avg
listsample 1
sourcetype="access_combined"
| stats count as totalsample 2
sourcetype="access_combined"
| stats count(vendor_action) as actionevent, count as totaldc or distinct_count()
해당 column의 중복을 제외한 unique한 것들의 갯수
sql의 distinct와 동일하다.
sourcetype="access_combined"
| stats dc(host) as "host list"by
group by 와 동일한 기능이다.
sourcetype="access_combined"
| stats count by host
| sort -"host list"lists
중복이 제거되지 않음
sourcetype="linux_secure" fail*
| stats list(user) as "user names", count(user) as attemps by src_ip중복이 제거되지 않은 순수한 것들이 들어간다.
values
중복이제거된 것들
sourcetype="linux_secure" fail*
| stats values(user) as "user names", count(user) as attemps by src_ipsingle series vs multi series
single : 숫자 column이 1개
multi : 숫자 column이 2개 이상
over 와 by의 차이는?
현재는 같은 의미로 쓴다. 고민하지 말자.
chart
sourcetype="linux_secure"
| chart count by vendor_actionvendor별로 count를 시각화한다.
multi by
sourcetype="linux_secure"
| chart count by vendor_action, usernull, other value 제약(제거)
sourcetype="access_combined" status>399
| chart count by host, itemId useother=f usenull=f표현 개수 제약
sample 1
sourcetype="access_combined" status>399
| chart count by host, itemId useother=f usenull=f limit=2sample 2
sourcetype="access_combined" action=purchase status=200
| chart sum(price) by host, product_name useother=f usenull=f limit=5timechart
sourcetype="cisco_wsa_squid" usage=Violation
| timechart count by usagesourcetype="cisco_wsa_squid" usage=Violation
| timechart span=15m count by usage15분 단위로 조정
15m(15분)
sourcetype="cisco_wsa_squid" usage=Violation
| timechart span=5h count by usage5시간 단위로 조정
overlay 부분 추가
시각화 > 형식 > 차트 오버레이 > 오버레이에서 원하는 사항 추가
'공부/Splunk' Related Articles
more
Comments