如何在 Splunk 中分组不同的 ip 地址并计算它们的总数
how to group out different ip address and count their total numbers in Splunk
您好 Splunk 网络开发人员
source="logfile" host="whatever" sourcetye="snort" | search "ip server"
提供与特定 ip 地址相关的所有事件,但我想对我的目标 ip 地址进行分组,并根据不同的组计算它们的总数。
Ex
COUNT SCR IP DST IP
100 192.168.10.1:23 -> 4.4.4.4
20 192.168.10.1:23 -> 5.5.5.5
10 192.168.10.1:23 -> 6.6.6.6
我已经上传了我的日志文件,但它无法真正识别主机和源 ip 地址。在这种特殊情况下,如果你能帮我添加方法来对不同的 dst 添加进行分组并对它们进行计数。我会很高兴的。
不过,如果你能帮我上传能识别来源和主机ip地址的日志文件,那对我来说会更容易,但如果你碰巧知道,请帮我给我你的指导。
enter image description here
这将取决于您如何对 stats 通话进行分组:
| stats count(src_ip) by dst_ip
将不同于
| stats count(dst_ip) by src_ip
将不同于
| stats count by dst_ip src_ip
将不同于
| stats count by src_ip dst_ip
您实际上想要完成什么?
您好 Splunk 网络开发人员
source="logfile" host="whatever" sourcetye="snort" | search "ip server"
提供与特定 ip 地址相关的所有事件,但我想对我的目标 ip 地址进行分组,并根据不同的组计算它们的总数。
Ex
COUNT SCR IP DST IP
100 192.168.10.1:23 -> 4.4.4.4
20 192.168.10.1:23 -> 5.5.5.5
10 192.168.10.1:23 -> 6.6.6.6
我已经上传了我的日志文件,但它无法真正识别主机和源 ip 地址。在这种特殊情况下,如果你能帮我添加方法来对不同的 dst 添加进行分组并对它们进行计数。我会很高兴的。
不过,如果你能帮我上传能识别来源和主机ip地址的日志文件,那对我来说会更容易,但如果你碰巧知道,请帮我给我你的指导。
enter image description here
这将取决于您如何对 stats 通话进行分组:
| stats count(src_ip) by dst_ip
将不同于
| stats count(dst_ip) by src_ip
将不同于
| stats count by dst_ip src_ip
将不同于
| stats count by src_ip dst_ip
您实际上想要完成什么?