Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 1081

Splunk SPL クエリ

Splunk SPL クエリ とは何ですか?

Splunk SPL クエリSplunk の Search Processing Language で記述するサーチ。マシンデータの絞り込み、変換、相関、可視化を行い、検知・ハンティング・レポートに用いる。

Splunk SPL(Search Processing Language)は、Splunk Enterprise、Splunk Cloud、Splunk Enterprise Security でインジェストされたログを問い合わせるためのパイプベースのクエリ言語です。クエリは検索フィルタから始まり、stats、eval、rex、lookup、join、tstats、transaction、timechart といったコマンドをパイプ演算子で連結していきます。検知エンジニアは SPL で相関ルールを表現し、スレットハンターはアドホックな調査に、アナリストはダッシュボードとレポート構築に SPL を用います。SPL のスキルは KQL(Microsoft Sentinel)、YARA-L(Google Chronicle)と並び、SOC・検知エンジニアリング職で最も需要のある能力のひとつです。大規模運用ではアクセラレーテッドデータモデルやインデックス対象フィールドなどの性能設計が重要になります。

  1. 01

    index=wineventlog EventCode=4625 | stats count by user, ComputerName | where count > 10

  2. 02

    | tstats summariesonly=true count from datamodel=Authentication where Authentication.action=failure by Authentication.user

よくある質問

Splunk SPL クエリ とは何ですか?

Splunk の Search Processing Language で記述するサーチ。マシンデータの絞り込み、変換、相関、可視化を行い、検知・ハンティング・レポートに用いる。 サイバーセキュリティの 防御と運用 カテゴリに属します。

Splunk SPL クエリ とはどういう意味ですか?

Splunk の Search Processing Language で記述するサーチ。マシンデータの絞り込み、変換、相関、可視化を行い、検知・ハンティング・レポートに用いる。

Splunk SPL クエリ はどのように機能しますか?

Splunk SPL(Search Processing Language)は、Splunk Enterprise、Splunk Cloud、Splunk Enterprise Security でインジェストされたログを問い合わせるためのパイプベースのクエリ言語です。クエリは検索フィルタから始まり、stats、eval、rex、lookup、join、tstats、transaction、timechart といったコマンドをパイプ演算子で連結していきます。検知エンジニアは SPL で相関ルールを表現し、スレットハンターはアドホックな調査に、アナリストはダッシュボードとレポート構築に SPL を用います。SPL のスキルは KQL(Microsoft Sentinel)、YARA-L(Google Chronicle)と並び、SOC・検知エンジニアリング職で最も需要のある能力のひとつです。大規模運用ではアクセラレーテッドデータモデルやインデックス対象フィールドなどの性能設計が重要になります。

Splunk SPL クエリ からどのように防御しますか?

Splunk SPL クエリ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

Splunk SPL クエリ の別名は何ですか?

一般的な別名: SPL, Splunk サーチ。

関連用語