Splunk SPL メモ

業務で Splunk の SPL をポチポチ触っているので メモなかなか覚えられない。

今回のお題

GitHub Enterprize の Audit ログを取り込んでいる Splunk があるのだが、

  • 特定の actor でフィルターする
  • action でカウントをとる
  • カウントを sort (昇順) する

をしたい。こんな SPL だった

`github_source` action=* actor="hiboma" 
|  stats count by action 
|  sort -count

結果の例

参考

データを並べ替えろ!|Splunk search コマンドでカスタムソートオーダー | Splunk