【Splunk】top コマンドでフィールド出現上位を表示する
topコマンドにより指定したフィールドの出現上位を表示することが可能です。
次のコマンドは app.evtx (Windows イベントログを抽出したファイル)でEventCodeフィールに関して出現頻度順に表示します。
source="app.evtx" | top EventCode
さらに表示件数を
限定したい場合は limit コマンドを使用します。
source="app.evtx" | top limit=5 EventCode
出現頻度が少ない順に表示するには rare コマンドを使います。
SPLUNK Siem のよくある質問�
個人的に独自に調査した事項をまとめています。各ベンダーとは全く関係がありません。
内容に誤りがある場合や情報が古くなっている場合があります。その場合でも修正されるとは限りません。
参考としてサイト閲覧ください。万が一誤りがあり損失等が発生しても保証しません。あくまでも自己責任でサイトを閲覧ください。