splunkでログを検索する際によく使うクエリまとめ
※ 用語の意味はExploring Splunkの付録 E：Splunk クイックリファレンスガイドを見ること

splunk cheatsheet

おまけ: Exploring Splunk の 目次 (抜粋)

3 Splunk を使ったサーチ

• サーチダッシュボード 23
• SPL™：サーチ処理言語 27
• パイプ 28
• 暗黙の AND 28
• top user 28
• fields – percent 28
• search コマンド 29
• search コマンドの使用ヒント 30
• サブサーチ 30

4 SPL：サーチ処理言語

• 結果のソート 33
  • sort 33
• 結果のフィルタリング 35
  • where 35
  • dedup 36
  • head 38
• 結果のグループ化 39
  • transaction 39
• 結果のレポート 41
  • top 41
  • stats 43
  • chart 45
  • timechart 47
• フィールドのフィルタリング、変更、追加 48
  • fields 49
  • replace 50
  • eval 51
  • rex 52
  • lookup 53

5 データの強化

• Splunk を使ったデータの理解 55
• フィールドの識別：パズルのピースを調査 56
• データの調査と理解 58
• レポートと集計の準備 60
• データのビジュアル化 65
• 視覚エフェクトの作成 65
• ダッシュボードの作成 67
• アラートの作成 68
• ウィザードを使ったアラートの作成 68
• Splunk 管理を使ったアラートのチューニング 71
• アラートアクションのカスタマイズ 74
• アラート管理 75

6 監視 (モニター) とアラート

• 監視のレシピ 79
• 同時ユーザー数の監視 79
• 停止ホストの監視 80
• 分類されたデータのレポート 81
• 本日の上位値と過去 1 ヶ月の値の比較 82
• 1 時間に 10% 低下した測定基準の発見 84
• 週単位の結果のグラフ化 85
• データのスパイクの識別 86
• コンパクトな時間ベースのグラフ 88
• XML または JSON 内のフィールドのレポート 88
• イベントからのフィールドの抽出 89
• アラートのレシピ 90
• サーバーの負荷が一定の値に達した時にメールで通知する 90
• Web サーバーのパフォーマンスが低下した場合にアラートする 91
• 不要な EC2 インスタンスのシャットダウン 91
• 監視のアラートへの変換 92

7 イベントのグループ化

• はじめに 95
• レシピ 97
• フィールド名の統合 97
• 未完了のトランザクションの検出 97
• トランザクション内の時間の計算 99
• 最新のイベントの発見 100
• 連続イベントの調査 101
• トランザクション間の時間 102
• 特定のトランザクションの調査 104
• 他のイベントに関連するイベントの調査 107
• イベント発生後のイベントの調査 108
• グループのグループ化 109

8 ルックアップテーブル

• はじめに 113
• lookup 113
• inputlookup 113
• outputlookup 113
• その他の参考資料 114
• レシピ 114
• デフォルトのルックアップ値の設定 114
• 逆引きルックアップの使用 114
• 2 層構造ルックアップの使用 116
• 複数ステップルックアップの使用 116
• サーチ結果からのルックアップテーブルの作成 117
• ルックアップテーブルへの結果の追加 117
• 巨大なルックアップテーブルの使用 118
• ルックアップ値の結果の比較 120
• ルックアップ照合の制御 122
• IP の照合 122
• ワイルドカードとの照合 123

付録 A：マシンデータの基礎

• アプリケーションログ 126
• Web アクセスログ 127
• Web プロキシログ 127
• CDR 127
• クリックストリームデータ 128
• メッセージキュー 128
• パケットデータ 128
• 設定ファイル 128
• データベース監査ログおよびテーブル 129
• ファイルシステム監査ログ 129
• 管理/ログ記録 API 129
• OS 測定基準、ステータス、および診断コマンド 129
• その他のマシンデータソース 130