Alerting
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question
Solved! Jump to solution

0詰めされた表記のIPアドレスと通常表記のIPアドレスの比較方法について

kerorin411
Engager
‎05-27-2015 01:12 AM

ダッシュボード内でドリルダウンを利用し、指定のフィールドが受け取ったIPアドレスとマッチするレコードを表示させたいのですが、両者のIPアドレスの表記が以下のように異なっており、マッチさせることができません。

サーチ文字列
sourcetype=traffic_log srcip=$IP$

指定のフィールド(srcip):172.29.32.2
ドリルダウンで受け取ったIPアドレス(IP):172.029.032.002

ログ自体のIPアドレス表記を変更することなく、上記のIPアドレスをマッチさせるサーチ方法をご教授いただけないでしょうか。

Reply
1 Solution
Solved! Jump to solution
Solution

melonman
Motivator
‎06-10-2015 11:38 AM

srcip=172.029.032.002 で入ってきた場合、手っ取り早くやるには、HiroshiSatoさんのアプローチがよいとおもいます。
evalでやる以外に、rexコマンドのsedオプションで0をとってしまうという方法がありますので、共有いたします。

... | rex field=srcip mode=sed "s/\.0+/./g"

上記をうまくsrcip=$IP$の箇所にいれていただければ可能かと思います。

以下参考にしていただければと思います。

srcip=[| stats count | eval query="$IP$" | rex field=query mode=sed "s/\.0+/./g" | fields - count]

あとは、CIDRとして通常のサーチにいれていただければもっと単純にいくとおもいます。

ip=172.029.032.002/32

などとサーチしていただくと、

172.029.032.002
172.29.32.2
172.029.032.002/32

上記3つを引っ掛けることができます。

方法はいくつかありますが、どの方法がサーチの仕方にあっているか判断していただければと。

alt text

View solution in original post

Preview file
1 KB
0 Karma
Reply
Solved! Jump to solution
Solution

melonman
Motivator
‎06-10-2015 11:38 AM

srcip=172.029.032.002 で入ってきた場合、手っ取り早くやるには、HiroshiSatoさんのアプローチがよいとおもいます。
evalでやる以外に、rexコマンドのsedオプションで0をとってしまうという方法がありますので、共有いたします。

... | rex field=srcip mode=sed "s/\.0+/./g"

上記をうまくsrcip=$IP$の箇所にいれていただければ可能かと思います。

以下参考にしていただければと思います。

srcip=[| stats count | eval query="$IP$" | rex field=query mode=sed "s/\.0+/./g" | fields - count]

あとは、CIDRとして通常のサーチにいれていただければもっと単純にいくとおもいます。

ip=172.029.032.002/32

などとサーチしていただくと、

172.029.032.002
172.29.32.2
172.029.032.002/32

上記3つを引っ掛けることができます。

方法はいくつかありますが、どの方法がサーチの仕方にあっているか判断していただければと。

alt text

Preview file
1 KB
0 Karma
Reply
Solved! Jump to solution

melonman
Motivator
‎06-10-2015 11:39 AM

本来なら、ipと認識して、0詰めでもそうでなくてもおなじように扱ってくれつと良いですね。。
IPv4ならまだましですが、v6になると、面倒になってきますので、、、

0 Karma
Reply
Solved! Jump to solution

HiroshiSatoh
Champion
‎06-10-2015 02:56 AM

ドリルダウンのIPを変換して使う方法はダメですか?

変換例.XIPが変換したIP
・・・・|eval XIP=split(IP,".")|eval XIP=tostring(tonumber(mvindex(XIP,0)))+"."+tostring(tonumber(mvindex(XIP,1)))+"."+tostring(tonumber(mvindex(XIP,2)))+"."+tostring(tonumber(mvindex(XIP,3)))

正規表現が得意なら正規表現でゼロサブレスしたほうがシンプルに書けます。

Reply
Get Updates on the Splunk Community!

Extending Observability Content to Splunk Cloud

Watch Now!   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to leverage ...

More Control Over Your Monitoring Costs with Archived Metrics!

What if there was a way you could keep all the metrics data you need while saving on storage costs?This is now ...

New in Observability Cloud - Explicit Bucket Histograms

Splunk introduces native support for histograms as a metric data type within Observability Cloud with Explicit ...