やあ、みんな　だよ

いつもの作者は「の記事もわかりづらいですね」と言われて凹んだので、僕が呼ばれたよ。よろしくね。

今回はちょっと初心に戻って、ログに書いている値で集計してみるよ

Macosxで動かしているので、WindowsやLinuxの人はディレクトリやフォルダを読み替えてね。

今回使うもの

今回は、この起動した時のそのままの画面を使用するよ。
真っ黒い背景にSPL（エス・ピー・エル）を書いていくので、それを赤枠の中、ここにサーチを入力．．．と書いているところにコピー＆ペーストしてもらって、🔍をクリックすると動くよ

時間:過去２４時間やモード:スマートモードは変更しないでね

ログに書いている値で集計する。

その１

index=_internal TERM("SUCCESS") OR TERM("ERROR")
| eval status=case(searchmatch("SUCCESS"),"SUCCESS",searchmatch("ERROR"),"ERROR",true(),NULL)
| stats count by status

searchmatch()は

この関数を使用して、検索文字列 (X) がイベントに一致した場合に TRUE を返します。

なので、文字列だよ。match()と違って正規表現じゃないよ。

その２

| tstats count where index=_internal TERM("status") by PREFIX("status=") sourcetype

Splunkの一番新しいのを使っていると、こんなこともできるよ。

TERM()もPREFIX()もログに書かれている文字列で検索しているんだ。

詳しくはTERMはこっちなんだ。意外と使いづらいけど、使えるときは使ってね。

PREFIXはこっちだよ。これも読んでみてね。

その３

index=_internal TERM("SUCCESS") OR TERM("ERROR")
| rex "(?i)(?<status>success|error)"
| stats count by status sourcetype

正規表現でその文字を抽出してフィールド名をつけてあげているよ。

意外と思いつかないけど、集計するには便利だよ。

まとめ

いくつかの方法を説明してきたけど、大丈夫だよね？

検索したときに使ったキーワードで数を数えるのって、意外と困るときがあるかもしれないけど、どれかの方法を使ってみてね

じゃ、またね〜

リクエストまってま〜す