業務で Splunk の SPL をポチポチ触っているので メモなかなか覚えられない。
今回のお題
GitHub Enterprize の Audit ログを取り込んでいる Splunk があるのだが、
- 特定の
actor
でフィルターする action
でカウントをとる- カウントを sort (昇順) する
をしたい。こんな SPL だった
`github_source` action=* actor="hiboma" | stats count by action | sort -count