1 Solution
srcip=172.029.032.002 で入ってきた場合、手っ取り早くやるには、HiroshiSatoさんのアプローチがよいとおもいます。
evalでやる以外に、rexコマンドのsedオプションで0をとってしまうという方法がありますので、共有いたします。
... | rex field=srcip mode=sed "s/\.0+/./g"
上記をうまくsrcip=$IP$の箇所にいれていただければ可能かと思います。
以下参考にしていただければと思います。
srcip=[| stats count | eval query="$IP$" | rex field=query mode=sed "s/\.0+/./g" | fields - count]
あとは、CIDRとして通常のサーチにいれていただければもっと単純にいくとおもいます。
ip=172.029.032.002/32
などとサーチしていただくと、
172.029.032.002
172.29.32.2
172.029.032.002/32
上記3つを引っ掛けることができます。
方法はいくつかありますが、どの方法がサーチの仕方にあっているか判断していただければと。
srcip=172.029.032.002 で入ってきた場合、手っ取り早くやるには、HiroshiSatoさんのアプローチがよいとおもいます。
evalでやる以外に、rexコマンドのsedオプションで0をとってしまうという方法がありますので、共有いたします。
... | rex field=srcip mode=sed "s/\.0+/./g"
上記をうまくsrcip=$IP$の箇所にいれていただければ可能かと思います。
以下参考にしていただければと思います。
srcip=[| stats count | eval query="$IP$" | rex field=query mode=sed "s/\.0+/./g" | fields - count]
あとは、CIDRとして通常のサーチにいれていただければもっと単純にいくとおもいます。
ip=172.029.032.002/32
などとサーチしていただくと、
172.029.032.002
172.29.32.2
172.029.032.002/32
上記3つを引っ掛けることができます。
方法はいくつかありますが、どの方法がサーチの仕方にあっているか判断していただければと。
