timechartコマンドの説明を書きます。
以下の記事の派生記事です。
canada-lemon.hatenablog.com

timechartはstatsコマンドの統計処理をベースとしつつ、時系列の表示に特化したコマンドです。

構文例
| timechart (時間単位) (統計処理) by <集計単位のフィールド名>

使用例1：内部ログの件数の推移を折れ線グラフで表示する

以下のSPLを実行すると、内部ログの件数を、10分単位でソースタイプ別に表示します。

index=_internal  
| timechart span=10m count by sourcetype

備考1：5万行の行数制限がある

使用例のSPLで、span=10mをspan=1sに変え、時間範囲を過去24時間で実行してみます。
すると、以下のようなエラーメッセージが出るはずです。

The specified span would result in too many (>50000) rows.

timechartコマンドには行数制限があり、5万行を超えると一部のリザルトが切り捨てられます。
対策は主に2つあります。

• 時間の単位をより｢粗く｣指定する
  • 例えば1秒単位から1分単位に変更すると行数が60分の1になる
• 検索する時間範囲を狭める

備考2：列の数もデフォルトでは制限されている

使用例のSPLを実行すると、右端にOTHERという列が生成されているはずです。
timechartコマンドを実行すると、結果の上位10の列のみが表示され、11位以下はOTHERとしてひとまとめにされてしまいます。

limit=0というオプションをつけると、列数制限が撤廃されます。

index=_internal  
| timechart span=10m count by sourcetype limit=0

本記事ではtimechartコマンドの説明をしました。
ここまで読んでいただき、ありがとうございました。

Splunk頻出SPLシリーズ

• 全体の紹介
• table
• rename
• eval
• stats
• eventstats
• sort
• timechart←今ココ
• lookup
• where
• search