Splunk 地図の表示のさせかた(Map機能の使い方)

Splunkで地図機能(Map機能)を使用してみたい方は多いのではないかと思います。今回はその簡単な方法を紹介します。

今回のログはSplunkが提供しているサンプルログを取り込んでそれを使用しています。
サンプルログの取り込みは以下が参考になります。
https://note.com/shiro_0721/n/n1f62c5595763

上記は2019/1013-2019/10/20のログをとりこんだものですが、Splunkのサンプルログはダウンロードする日付によって、サンプルログの日程が変わるため、後続のサーチの時間もそれに合わせて変更してください。

今回地図を表示させるために使用する関数は以下の2つです。
・iplocation
・geostats

iplocation関数はip情報から一情報であるlatitudeフィールドとlongtitudeフィールドを作成します。
iplocation関数のドキュメントは以下にあります。
https://docs.splunk.com/Documentation/Splunk/7.3.2/SearchReference/Iplocation

geostats関数は地図データを計算し、その結果を地図データへ反映します。
geostats関数のドキュメントは以下にあります。
https://docs.splunk.com/Documentation/Splunk/7.3.2/SearchReference/Geostats
iplocationのコマンドだけでは地図へ結果は表示されません。iplocationで経度と緯度を計算し、geostatsコマンドで表示させます。
経度：logitude
緯度：latitude

以下のコマンドを入力します。clientipの部分はログのフィールドに合わせて適宜変更する必要があります。