Splunk Search
×

Are you a member of the Splunk Community?

Sign in or Register with your Splunk account to get your questions answered, access valuable resources and connect with experts!
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Show  only  | Search instead for 
Did you mean: 
Ask a Question
Solved! Jump to solution

同じ送信者,受信者同士のメール件数カウント

xebec
Engager
‎04-22-2014 10:13 PM

使い始めて2週間程度の初心者です。
同じ送信者,受信者同士のメールの件数をSplunkを使ってカウントできないか調査しています。

|stats count by src_add,dst_add

とすると片方向の件数しか出ません(a@a.comb@b.comは出るが,b@b.coma@a.comは出ない)

いいアイディアや適切なコマンドをご存知でしたら教えてください。

よろしくお願いいたします。

Tags (2)
0 Karma
Reply
1 Solution
Solved! Jump to solution
Solution

HiroshiSatoh
Champion
‎04-23-2014 04:33 AM

問題点はa@a.comb@b.comb@b.coma@a.comが別々にカウントされるということですか?
であれば、大小比較して結合したフィールドでカウントするのはどうですか?

・・・・・|eval addr=if(src_add<dest_add,src_add+"-"+dest_add,dest_add+"-"+src_add)|stats count by addr

src_add、dest_addに複数のアドレスが存在する場合はばらさないとダメですが・・・

View solution in original post

0 Karma
Reply
Solved! Jump to solution
Solution

HiroshiSatoh
Champion
‎04-23-2014 04:33 AM

問題点はa@a.comb@b.comb@b.coma@a.comが別々にカウントされるということですか?
であれば、大小比較して結合したフィールドでカウントするのはどうですか?

・・・・・|eval addr=if(src_add<dest_add,src_add+"-"+dest_add,dest_add+"-"+src_add)|stats count by addr

src_add、dest_addに複数のアドレスが存在する場合はばらさないとダメですが・・・

0 Karma
Reply
Solved! Jump to solution

xebec
Engager
‎04-23-2014 10:36 PM

以下のコマンドで送受信の多いアドレスを抽出することが出来ました。ありがとうございました。
| makemv delim=";" dst_add | eval test=if(src_add<dst_add,src_add+" - "+dst_add,dst_add+" - "+src_add) |stats count by test

0 Karma
Reply
Solved! Jump to solution

bananaman
Path Finder
‎04-22-2014 11:39 PM

まず同一のフィールド(src_addなど)に複数のバリューがある場合は以下のコマンドにより分割することが出来ます。
(デリメタはデータ内フォーマットに依存しますので確認ください)

makemv delim="," src_add

makemv

また、それぞれの件数カウントをされたい場合には以下のようなコマンドを使用しカウントすることが出来ます。

eval To_count=mvcount(dest_add) | eval From_count=mvcount(src_add)

mvcount

リンクそれぞれにsendmailでのサンプルが少し記載されていますのでご参照いただければと思います。

0 Karma
Reply
Solved! Jump to solution

xebec
Engager
‎04-23-2014 09:54 PM

makemvでアドレスを分けることが出来ました。ありがとうございました。

0 Karma
Reply
Get Updates on the Splunk Community!

.conf25 Community Recap

Hello Splunkers, And just like that, .conf25 is in the books! What an incredible few days — full of learning, ...

Splunk App Developers | .conf25 Recap & What’s Next

If you stopped by the Builder Bar at .conf25 this year, thank you! The retro tech beer garden vibes were ...

Congratulations to the 2025-2026 SplunkTrust!

Hello, Splunk Community! We are beyond thrilled to announce our newest group of SplunkTrust members!  The ...