Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question
Solved! Jump to solution

同じ送信者,受信者同士のメール件数カウント

xebec
Engager
‎04-22-2014 10:13 PM

使い始めて2週間程度の初心者です。
同じ送信者,受信者同士のメールの件数をSplunkを使ってカウントできないか調査しています。

|stats count by src_add,dst_add

とすると片方向の件数しか出ません(a@a.comb@b.comは出るが,b@b.coma@a.comは出ない)

いいアイディアや適切なコマンドをご存知でしたら教えてください。

よろしくお願いいたします。

Tags (2)
0 Karma
Reply
1 Solution
Solved! Jump to solution
Solution

HiroshiSatoh
Champion
‎04-23-2014 04:33 AM

問題点はa@a.comb@b.comb@b.coma@a.comが別々にカウントされるということですか?
であれば、大小比較して結合したフィールドでカウントするのはどうですか?

・・・・・|eval addr=if(src_add<dest_add,src_add+"-"+dest_add,dest_add+"-"+src_add)|stats count by addr

src_add、dest_addに複数のアドレスが存在する場合はばらさないとダメですが・・・

View solution in original post

0 Karma
Reply
Solved! Jump to solution
Solution

HiroshiSatoh
Champion
‎04-23-2014 04:33 AM

問題点はa@a.comb@b.comb@b.coma@a.comが別々にカウントされるということですか?
であれば、大小比較して結合したフィールドでカウントするのはどうですか?

・・・・・|eval addr=if(src_add<dest_add,src_add+"-"+dest_add,dest_add+"-"+src_add)|stats count by addr

src_add、dest_addに複数のアドレスが存在する場合はばらさないとダメですが・・・

0 Karma
Reply
Solved! Jump to solution

xebec
Engager
‎04-23-2014 10:36 PM

以下のコマンドで送受信の多いアドレスを抽出することが出来ました。ありがとうございました。
| makemv delim=";" dst_add | eval test=if(src_add<dst_add,src_add+" - "+dst_add,dst_add+" - "+src_add) |stats count by test

0 Karma
Reply
Solved! Jump to solution

bananaman
Path Finder
‎04-22-2014 11:39 PM

まず同一のフィールド(src_addなど)に複数のバリューがある場合は以下のコマンドにより分割することが出来ます。
(デリメタはデータ内フォーマットに依存しますので確認ください)

makemv delim="," src_add

makemv

また、それぞれの件数カウントをされたい場合には以下のようなコマンドを使用しカウントすることが出来ます。

eval To_count=mvcount(dest_add) | eval From_count=mvcount(src_add)

mvcount

リンクそれぞれにsendmailでのサンプルが少し記載されていますのでご参照いただければと思います。

0 Karma
Reply
Solved! Jump to solution

xebec
Engager
‎04-23-2014 09:54 PM

makemvでアドレスを分けることが出来ました。ありがとうございました。

0 Karma
Reply
Get Updates on the Splunk Community!

.conf24 | Registration Open!

Hello, hello! I come bearing good news: Registration for .conf24 is now open!   conf is Splunk’s rad annual ...

ICYMI - Check out the latest releases of Splunk Edge Processor

Splunk is pleased to announce the latest enhancements to Splunk Edge Processor.  HEC Receiver authorization ...

Introducing the 2024 SplunkTrust!

Hello, Splunk Community! We are beyond thrilled to announce our newest group of SplunkTrust members!  The ...