製品・サービス
製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
仕様・技術情報
timechartコマンドで表示するグラフにすべての値を表示する方法
- 公開日
- 2017-09-01
- 最終更新日
- 2024-01-29
- バージョン
- Splunk Enterprise 9.1.2
- 概要
- timechartコマンドで表示するグラフにすべての項目を表示する方法について説明します。
- 更新履歴
- 2018/08/02 limit オプションの「limits」を「limit」に修正
2017/06/01 初版
- 内容
-
Search Appの視覚エフェクトにてグラフを表示する際、以下のような場合があります。
- 値が「NULL」であるものも結果の一つとして集計され表示される
- 表示する項目が多い場合、「OTHER」にまとめられ、表示される
(図1)表示されるグラフに「NULL」や「OTHER」が含まれている状態上記のような場合、サーチクエリ内のtimechartコマンドに以下のようなオプションを利用する事で「NULL」の項目を非表示にし、かつ、「OTHER」に含まれてる全ての項目を凡例に表示することが可能です。
- usenull オプション
サーチ結果の値が「NULL」になっている項目についてはグラフの表示から除外します。「NULL」の項目を非表示にする場合は usenull=false をサーチ文に利用します。 - useother オプション
表示する項目が多い場合にまとめられた項目を「OTHER」として表示します。サーチ文に useother=false を利用した場合、まとめられた「OTHER」の項目は非表示となります。 - limit オプション
グラフ上に表示される項目の数に制限を設けるオプションです。limit = N をサーチ文に含めることでグラフ上に N個の項目を表示する事が出来ます。サーチ結果に含まれる全項目のグラフに表示する場合、 limit = 0 をサーチ文に利用します。
上記オプションを利用し、サーチ文を実行した場合、以下のように「NULL」を非表示にしたうえで「OTHER」に丸められていた全ての項目をグラフ上に表示する事が可能となります。
【サーチ文 実行例】
<検索対象> | timechart span=1month sum(value) by extracted_host usenull=false useother=false
(図2)上記オプションを利用し「NULL」を表示せず、「OTHER」に含まれた全項目を表示した状態以上
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30