Splunkのサーチ言語 statsとtop関数について

■Splunkのサーチ言語
Splunkにはサーチ言語というものが存在し、ログの集計に役立ちます。
例えばstats関数のcountはログの件数のカウントに役立ちますし、top関数はある項目を大きい件数順に並べ替え、多い10件を表示させてくれます。

どのような関数があるかはSplunkのドキュメントに記載があります。
https://docs.splunk.com/Documentation/Splunk/8.0.4/SearchReference/WhatsInThisManual

また以下のクイックリファレンスにもよく使われるコマンドの記載があります。
https://www.splunk.com/pdfs/solution-guides/splunk-quick-reference-guide-jp.pdf

よく使用されるサーチ言語

今回はstats関数のcountとtop関数を使用します。

■stats関数のcount

stats関数のcountを使用して「送信元182.236.164.11」のログの件数を調査します。
関数を使用する際は検索条件を「|」パイプで区切ります。

stats関数のcountの使用方法：stats count by [調査したいフィールド]

今回は送信元の件数でカウントしたいので、以下のようなコマンドを入力します。