<h1 id="chart%E3%81%A0%E3%81%A8%E7%97%92%E3%81%84%E3%81%A8%E3%81%93%E3%82%8D%E3%81%AB%E6%89%8B%E3%81%8C%E5%B1%8A%E3%81%8B%E3%81%AA%E3%81%84%EF%BC%81">
<a class="header-anchor-link" href="#chart%E3%81%A0%E3%81%A8%E7%97%92%E3%81%84%E3%81%A8%E3%81%93%E3%82%8D%E3%81%AB%E6%89%8B%E3%81%8C%E5%B1%8A%E3%81%8B%E3%81%AA%E3%81%84%EF%BC%81" aria-hidden="true"></a> Chartだと痒いところに手が届かない！</h1>
<p>Webサイトのセキュリティ周りの設定をいじる際、変更後に微妙にユーザ通信の誤遮断が増えたり、、みたいなことがないかの兆候をみる必要がありまして。<br>
遮断傾向（＝返すステータスコード）をSplunkでいい感じに可視化する事になりました。</p>
<p>具体的には、行に接続元IPや＋αの情報、列に返したステータスコードをまとめるのがゴール。</p>
<p>そういう可視化は、行に使う情報が接続元IPだけだったり、１つのフィールドだけであればchartを使うだけで良いのですが、、<br>
行に使いたいフィールドが増えるとchartでは集計できなくなるので、どうしたもんか。<br>
ということで、あれこれ試行錯誤しました。</p>
<h2 id="%E7%B0%A1%E5%8D%98%E3%81%AA%E8%A1%A8%E7%A4%BA%E3%81%A7%E3%81%84%E3%81%84%E5%A0%B4%E5%90%88">
<a class="header-anchor-link" href="#%E7%B0%A1%E5%8D%98%E3%81%AA%E8%A1%A8%E7%A4%BA%E3%81%A7%E3%81%84%E3%81%84%E5%A0%B4%E5%90%88" aria-hidden="true"></a> 簡単な表示でいい場合</h2>
<p>接続元IP単位で集計するだけでいいなら、下記だけでいいのですよ。</p>
<div class="code-block-container"><pre><code>&lt;search&gt;
| chart count by address, status
</code></pre></div><p>で、以下のようになる、と。</p>
<table>
<thead>
<tr>
<th>address</th>
<th>200</th>
<th>301</th>
<th>302</th>
</tr>
</thead>
<tbody>
<tr>
<td>192.168.1.1</td>
<td>100</td>
<td>0</td>
<td>0</td>
</tr>
<tr>
<td>192.168.1.2</td>
<td>0</td>
<td>100</td>
<td>0</td>
</tr>
</tbody>
</table>
<p>※以下、手元の全然ログフォーマットの違うデータで動作確認した結果を手でうつしているので、タイポしてたりしてたらすみません。。</p>
<p>これが、行に使いたい情報が複数になると困る。<br>
こんな結果が欲しいのだが、、</p>
<table>
<thead>
<tr>
<th>address</th>
<th>useragent</th>
<th>200</th>
<th>301</th>
<th>302</th>
</tr>
</thead>
<tbody>
<tr>
<td>192.168.1.1</td>
<td>Mozilla/5.0...</td>
<td>80</td>
<td>0</td>
<td>0</td>
</tr>
<tr>
<td>192.168.1.1</td>
<td>curl ...</td>
<td>20</td>
<td>0</td>
<td>0</td>
</tr>
<tr>
<td>192.168.1.2</td>
<td>Mozilla/5.0...</td>
<td>0</td>
<td>100</td>
<td>0</td>
</tr>
</tbody>
</table>
<p>これは、chartコマンドでは（おそらく）実施できない。第１引数に複数のフィールドを取れないので。<br>
こんなケースを何とかする方法を、あれこれ考えてみました。</p>
<h1 id="%E8%A9%A6%E8%A1%8C%E9%8C%AF%E8%AA%A4">
<a class="header-anchor-link" href="#%E8%A9%A6%E8%A1%8C%E9%8C%AF%E8%AA%A4" aria-hidden="true"></a> 試行錯誤</h1>
<h2 id="1.-%E8%A1%8C%E3%81%AE%E6%83%85%E5%A0%B1%E3%82%92concatenate%E3%81%97%E3%81%A6%E3%81%97%E3%81%BE%E3%81%86">
<a class="header-anchor-link" href="#1.-%E8%A1%8C%E3%81%AE%E6%83%85%E5%A0%B1%E3%82%92concatenate%E3%81%97%E3%81%A6%E3%81%97%E3%81%BE%E3%81%86" aria-hidden="true"></a> 1. 行の情報をconcatenateしてしまう</h2>
<p>こんな。</p>
<div class="code-block-container"><pre><code>&lt;search&gt;
| eval accessname = addess."-".useragent
| chart count by accessname, status
</code></pre></div><p>こーなる。</p>
<p>|accessname |200 |301 |302 |<br>
|------------|----------|----|----|----|<br>
|192.168.1.1-Mozilla/5.0... |80  |0   |0   |<br>
|192.168.1.1-curl ...       |20  |0   |0   |<br>
|192.168.1.2-Mozilla/5.0... |0   |100 |0   |</p>
<p>これで事足りるだろ？と言われりゃまぁ足りるのですけど、本質的に美しくない気がしないでもない。<br>
この処理をした後にさらにSPLをかける用途が会った時のために、もう少々調べてみる。<br>
（現状思いつく有力なケースは、dashboardでSearchBaseを使って、一回大処理させた結果を保持しておいてパネルごとにさらに再フィルタして出し分ける時くらいでしょうか。）</p>
<h2 id="2.-%EF%BC%88%E7%BE%8E%E3%81%97%E3%81%8F%E3%81%AA%E3%81%84%E6%96%B9%E6%B3%95%EF%BC%89concatenate%E3%81%97%E3%81%A6%E9%9B%86%E8%A8%88%E5%BE%8C%E3%80%81%E5%86%8D%E5%88%86%E5%89%B2%E3%80%82">
<a class="header-anchor-link" href="#2.-%EF%BC%88%E7%BE%8E%E3%81%97%E3%81%8F%E3%81%AA%E3%81%84%E6%96%B9%E6%B3%95%EF%BC%89concatenate%E3%81%97%E3%81%A6%E9%9B%86%E8%A8%88%E5%BE%8C%E3%80%81%E5%86%8D%E5%88%86%E5%89%B2%E3%80%82" aria-hidden="true"></a> 2. （美しくない方法）concatenateして集計後、再分割。</h2>
<p>こんな。</p>
<div class="code-block-container"><pre><code>&lt;search&gt;
| eval accessname = addess "-" useragent
| chart count by accessname, status
| rex field=accessname "(?&lt;address&gt;.*)-(?&lt;useragent&gt;.*)"
</code></pre></div><p>。。。はい、useragentはかなり好き放題文字列入るわけで、"-"がフィールドの値の中に入ったら。。。。<br>
このケースではうまくいくかもしれませんが、UA-IPの順序にしたり、他の要素が入ってきた日にゃぁ。。<br>
正規表現でフィールド事に抽出方法を細かく指定する方法もできますが、めんどくさいし、うまくいかないケースもいくらでも思いつきますから、筋が悪い。。</p>
<h2 id="3.-%EF%BC%88%E3%83%80%E3%83%A1%E3%81%A3%E3%81%BD%E3%81%84%EF%BC%89concatenate%E3%81%AE%E4%BB%A3%E3%82%8F%E3%82%8A%E3%81%AB%E3%83%9E%E3%83%AB%E3%83%81%E3%83%90%E3%83%AA%E3%83%A5%E3%83%BC%E3%83%95%E3%82%A3%E3%83%BC%E3%83%AB%E3%83%89%E3%81%A7">
<a class="header-anchor-link" href="#3.-%EF%BC%88%E3%83%80%E3%83%A1%E3%81%A3%E3%81%BD%E3%81%84%EF%BC%89concatenate%E3%81%AE%E4%BB%A3%E3%82%8F%E3%82%8A%E3%81%AB%E3%83%9E%E3%83%AB%E3%83%81%E3%83%90%E3%83%AA%E3%83%A5%E3%83%BC%E3%83%95%E3%82%A3%E3%83%BC%E3%83%AB%E3%83%89%E3%81%A7" aria-hidden="true"></a> 3. （ダメっぽい）concatenateの代わりにマルチバリューフィールドで</h2>
<p>だめっぽい。</p>
<div class="code-block-container"><pre><code>&lt;search&gt;
| eval accessinfo = mvappend(addess, useragent)
| chart count by accessname, status
</code></pre></div><p>結果はこうなります。</p>
<table>
<thead>
<tr>
<th>addressinfo</th>
<th>200</th>
<th>301</th>
<th>302</th>
</tr>
</thead>
<tbody>
<tr>
<td>192.168.1.1</td>
<td>80</td>
<td>0</td>
<td>0</td>
</tr>
<tr>
<td>192.168.1.1</td>
<td>20</td>
<td>0</td>
<td>0</td>
</tr>
<tr>
<td>192.168.1.2</td>
<td>0</td>
<td>100</td>
<td>0</td>
</tr>
<tr>
<td>Mozilla/5.0...</td>
<td>80</td>
<td>0</td>
<td>0</td>
</tr>
<tr>
<td>curl ...</td>
<td>20</td>
<td>0</td>
<td>0</td>
</tr>
<tr>
<td>Mozilla/5.0...</td>
<td>0</td>
<td>100</td>
<td>0</td>
</tr>
</tbody>
</table>
<p>chartてmultivalueに対して処理する時は、multivalueという固まり単位で集計するのではなく、multivalueに含まれているvalue事に個別で分計してくれてしまうようです。<br>
仮にうまく集計してくれたとしても、一回multivaueにしてしまったfieldsを再分解する良い方法も見つからなかったので、このやり方は筋が悪そうですね。。</p>
<h2 id="join%E3%82%92%E8%A7%A3%E7%A6%81">
<a class="header-anchor-link" href="#join%E3%82%92%E8%A7%A3%E7%A6%81" aria-hidden="true"></a> joinを解禁</h2>
<p>joinて処理を重くする印象があるのであまり使いたくはないのですが、、<br>
一回２Fieldsで集計してしまって、最後に列の情報をjoinで後付けする方法です。</p>
<div class="code-block-container"><pre><code>&lt;search&gt;
| eval accessname = addess."-".useragent
| chart count by accessname, status
| join accessname [&lt;search&gt; | eval accessname = address."-".useragent]
</code></pre></div><p>。。。これsearchでよっぽどうまく絞り込めてないと、大惨事になる気がする。。<br>
しかも同じサーチ処理を2回実施していることになるので、非常に美しくない。。</p>
<h2 id="chart%E4%BB%A5%E5%A4%96%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E3%82%89%EF%BC%9F-eval-%7Bfield%7D">
<a class="header-anchor-link" href="#chart%E4%BB%A5%E5%A4%96%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E3%82%89%EF%BC%9F-eval-%7Bfield%7D" aria-hidden="true"></a> chart以外を使ったら？ eval {FIELD}</h2>
<p>以下を参考にさせていただきました。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__a398a50e4da25" src="https://embed.zenn.studio/card#zenn-embedded__a398a50e4da25" data-content="https%3A%2F%2Fqiita.com%2Ftoshikawa%2Fitems%2Feeb99d25cb4f64f429a1" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://qiita.com/toshikawa/items/eeb99d25cb4f64f429a1" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/toshikawa/items/eeb99d25cb4f64f429a1</a></p>
<div class="code-block-container"><pre><code>&lt;search&gt;
| eval S_{status} = 1
| fields address, useragent, S_*
| stats sum(*) as * by address, useragent
| foreach S_* [eval &lt;&lt;FIELD&gt;&gt; = if(isnull(&lt;&lt;FIELD&gt;&gt;), 0, &lt;&lt;FIELD&gt;&gt;)]
| eval taltal = 0 | foreach S_* [eval total = total + &lt;&lt;FIELD&gt;&gt;]
</code></pre></div><p>最後の2行は、空欄セルに”０”を入れるための処理と、S_＊の合計値を出す処理です。</p>
<p>これで以下のようになる(はず)。</p>
<table>
<thead>
<tr>
<th>address</th>
<th>useragent</th>
<th>total</th>
<th>S_200</th>
<th>S_301</th>
<th>S_302</th>
</tr>
</thead>
<tbody>
<tr>
<td>192.168.1.1</td>
<td>Mozilla/5.0...</td>
<td>80</td>
<td>80</td>
<td>0</td>
<td>0</td>
</tr>
<tr>
<td>192.168.1.1</td>
<td>curl ...</td>
<td>20</td>
<td>20</td>
<td>0</td>
<td>0</td>
</tr>
<tr>
<td>192.168.1.2</td>
<td>Mozilla/5.0...</td>
<td>100</td>
<td>0</td>
<td>100</td>
<td>0</td>
</tr>
</tbody>
</table>
<p>join使うよりは筋が良さそうに見えるけど、実行すると若干重いかも。。</p>
<h2 id="%E8%84%B1%E7%B7%9A-foreach-%E3%81%A8-field">
<a class="header-anchor-link" href="#%E8%84%B1%E7%B7%9A-foreach-%E3%81%A8-field" aria-hidden="true"></a> 脱線 foreach と FIELD</h2>
<p>今回の用途の調査をする際、途中「foreach」を使えないかな、、と思った時期がありました。<br>
結局勘違いだったのですが、せっかくなのでメモ。</p>
<p>foreachは構文として、<code>foreach status [eval &lt;&lt;FIELD&gt;&gt; = &lt;&lt;FIELD&gt;&gt;."_column"]</code>みたいに書くのですが、この際eval式の左辺のFIELDは対象フィールド名（status)、右辺のFIELDは対象のフィールドの値（200とか302とか）に展開されるみたいで。。<br>
初め右辺の展開だけ見ていて、左辺も値の場合も値が展開されるのかな、、と勘違いしてました。<br>
('200' = .. というeval式がかけるのだと思い込んでました）。</p>
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
<p>eval {FIELD}= の方法かなぁ。。<br>
chartに頼らんと、自分で１つ１つの手順を追いかけましょうという事で。</p>
<p>ちなみにこの構文の存在をしれたのが最大の成果でした。<br>
他の用途でも使うケースがありそうですし、きちんと覚えておこう。</p>


Splunk Webアクセスログ　ステータス別集計表を作る話

Chartだと痒いところに手が届かない！

1. 行の情報をconcatenateしてしまう

2. （美しくない方法）concatenateして集計後、再分割。

3. （ダメっぽい）concatenateの代わりにマルチバリューフィールドで

chart以外を使ったら？ eval {FIELD}

Discussion