【Splunk】rare コマンドとは
Splunk における rare コマンドとは出現頻度の少ない順に表示する。top コマンドの逆。
実行すると count が少ない順に表示される。次のコマンドは app.evtx (Windows イベントログを抽出したファイル)でEventCodeフィールに関して出現頻度順の少ない順に表示する。表示件数は 10 件。
source="app.evtx" | rare EventCode limit=10
実行すると count が少ない順に表示されていることが分かる。
SPLUNK Siem のよくある質問�
個人的に独自に調査した事項をまとめています。各ベンダーとは全く関係がありません。
内容に誤りがある場合や情報が古くなっている場合があります。その場合でも修正されるとは限りません。
参考としてサイト閲覧ください。万が一誤りがあり損失等が発生しても保証しません。あくまでも自己責任でサイトを閲覧ください。