markdown splunk cheatsheet

Posted 2021-05-05

splunkでログを検索する際によく使うクエリまとめ  
※ 用語の意味はExploring Splunkの付録 `E：Splunk クイックリファレンスガイド`を見ること


# splunk cheatsheet

## おまけ: Exploring Splunk の 目次 (抜粋)
### 3 Splunk を使ったサーチ
- サーチダッシュボード 23
- SPL™：サーチ処理言語 27
- パイプ 28
- 暗黙の AND 28
- top user 28
- fields – percent 28
- search コマンド 29
- search コマンドの使用ヒント 30
- サブサーチ 30

### 4 SPL：サーチ処理言語
- 結果のソート 33
  - sort 33
- 結果のフィルタリング 35
  - where 35
  - dedup 36
  - head 38
- 結果のグループ化 39
  - transaction 39
- 結果のレポート 41
  - top 41
  - stats 43
  - chart 45
  - timechart 47
- フィールドのフィルタリング、変更、追加 48
  - fields 49
  - replace 50
  - eval 51
  - rex 52
  - lookup 53

### 5 データの強化
- Splunk を使ったデータの理解 55
- フィールドの識別：パズルのピースを調査 56
- データの調査と理解 58
- レポートと集計の準備 60
- データのビジュアル化 65
- 視覚エフェクトの作成 65
- ダッシュボードの作成 67
- アラートの作成 68
- ウィザードを使ったアラートの作成 68
- Splunk 管理を使ったアラートのチューニング 71
- アラートアクションのカスタマイズ 74
- アラート管理 75

## 6 監視 (モニター) とアラート
- 監視のレシピ 79
- 同時ユーザー数の監視 79
- 停止ホストの監視 80
- 分類されたデータのレポート 81
- 本日の上位値と過去 1 ヶ月の値の比較 82
- 1 時間に 10% 低下した測定基準の発見 84
- 週単位の結果のグラフ化 85
- データのスパイクの識別 86
- コンパクトな時間ベースのグラフ 88
- XML または JSON 内のフィールドのレポート 88
- イベントからのフィールドの抽出 89
- アラートのレシピ 90
- サーバーの負荷が一定の値に達した時にメールで通知する 90
- Web サーバーのパフォーマンスが低下した場合にアラートする 91
- 不要な EC2 インスタンスのシャットダウン 91
- 監視のアラートへの変換 92

## 7 イベントのグループ化
- はじめに 95
- レシピ 97
- フィールド名の統合 97
- 未完了のトランザクションの検出 97
- トランザクション内の時間の計算 99
- 最新のイベントの発見 100
- 連続イベントの調査 101
- トランザクション間の時間 102
- 特定のトランザクションの調査 104
- 他のイベントに関連するイベントの調査 107
- イベント発生後のイベントの調査 108
- グループのグループ化 109

## 8 ルックアップテーブル
- はじめに 113
- lookup 113
- inputlookup 113
- outputlookup 113
- その他の参考資料 114
- レシピ 114
- デフォルトのルックアップ値の設定 114
- 逆引きルックアップの使用 114
- 2 層構造ルックアップの使用 116
- 複数ステップルックアップの使用 116
- サーチ結果からのルックアップテーブルの作成 117
- ルックアップテーブルへの結果の追加 117
- 巨大なルックアップテーブルの使用 118
- ルックアップ値の結果の比較 120
- ルックアップ照合の制御 122
- IP の照合 122
- ワイルドカードとの照合 123

## 付録 A：マシンデータの基礎
- アプリケーションログ 126
- Web アクセスログ 127
- Web プロキシログ 127
- CDR 127
- クリックストリームデータ 128
- メッセージキュー 128
- パケットデータ 128
- 設定ファイル 128
- データベース監査ログおよびテーブル 129
- ファイルシステム監査ログ 129
- 管理/ログ記録 API 129
- OS 測定基準、ステータス、および診断コマンド 129
- その他のマシンデータソース 130