Splunk에 로그를 캡처하고 분석하는 예로서 우리 집의 무선 LAN 라우터 로그를 사용하여 타다 타고 있는지 확인해 보겠습니다.

1. 로그 캡처

①로그 캡처

Splunk의 상단 화면에서 Add Data, Upload로 이동하여 가져올 로그를 지정합니다.

②인덱스 작성

「Create a new index」로 신규로 인덱스를 작성합니다. 이름은 "ap_idx"입니다.

2. 로그 검색

인덱스를 지정해 캡처한 로그를 우선 모두 표시시켜 보겠습니다.

index=ap_idx

무선 LAN 라우터에의 인증이 성공하면 「associated」라고 하는 키워드가 남는 것 같기 때문에, 이하와 같이 검색문에 키워드를 넣습니다.

index=ap_idx associated

'associated' 또는 포함된 행만 표시됩니다. 이 근처가 grep 같네요.
다음으로 인증에 성공한 MAC 주소를 추출해 봅시다. 로그를 보면, 「STA("MAC 주소")」라고 하는 포맷이 되어 있으므로, rex 커멘드를 사용해 이하의 검색 문장을 씁니다.
(검색 결과를 다른 명령에 전달할 때는 파이프 "|"를 사용합니다. 리눅스와 동일합니다.)

index=ap_idx associated
|rex field=_raw "STA\((?<MAC>.*)\)"

이미지에 변화가 없지만, 추출, 즉 필드로서 인식하고 있습니다.
단지, 이대로는 일람성이 없기 보기 어렵기 때문에, 리스트 형식으로 합니다. table 명령을 사용합니다.

index=ap_idx associated
|rex field=_raw "STA\((?<MAC>.*)\)"
|table MAC

중복된 MAC 주소도 표시되므로 중복을 삭제합니다. dedup 명령을 사용합니다.

index=ap_idx associated
|rex field=_raw "STA\((?<MAC>.*)\)"
|table MAC
|dedup MAC

이 안에 모르는 MAC 주소가 있으면 타다 타고 있는 것이 됩니다만, 모두 파악하고 있는 것이었으므로 일안심입니다.