ラボ 2 - シンプルな parse、グループ化、フィルタ

最後の更新
PDFとして保存

このラボでは、parse、集計、および結果のフィルタリングの基本事項について説明します。

検索結果を parse してグループ化するための基本的な operator について学習します。それぞれの詳細は後のラボで取り上げます。

Apache のログ (アクセスログとエラーログ) で過去 15 分間のメッセージを検索し、_source 別にメッセージをカウントします。

_sourceCategory=Labs/Apache/*

| count by _source

parse regex を使用して IP アドレスを parse するようにクエリを更新し、IP アドレス別にメッセージをカウントします。

_sourceCategory=Labs/Apache/*

| parse regex "(?<ip_address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| count by ip_address

カウントが 2500 を超える結果は除外します。結果を円グラフで表示します。

_sourceCategory=Labs/Apache/*

| parse regex "(?<ip_address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| count by ip_address

| where _count > 2500

新しいクエリで、帯域幅の使用量が多い IP アドレスの上位 10 件を特定します。これにはバイトサイズと Source IP の parse が必要です。

_sourceCategory=Labs/Apache/Access

| parse regex "(?<ip_address>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"

| parse " 200 * " as size

| sum(size) as total_bytes by ip_address

| top 10 ip_address by total_bytes

おまけ: Source IP ごとに平均サイズを特定します。