個々のログの詳細を表示し、フィールド抽出プロセッサーを作成する 🔗
注釈
Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。
特定の有用な情報を含むログレコードのセットを見つけたら、個々のレコードの内容を表示し、ログ内のデータの完全なビューを得ることができます。フィールドと値ごとに分解され、フィールド パネルにJSON形式で表示されます。また、各フィールドがすべてのログに表示される回数も見ることができます。
興味深いフィールドを見つけたら、フィールド抽出を実行し、それを使ってデータを変換することができます。詳細は ログ処理ルールでデータを変換する を参照してください。
注釈
フィールド抽出プロセッサーを作成できるのは、Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様のみです。Log Observer Connect を使用している場合、Splunk Cloud Platform または Splunk Enterprise データを Log Observer で表示および検索できますが、変換することはできません。
個々のログ記録の内容を表示し、フィールド抽出ルールを作成するには、以下の手順に従います:
ログ詳細パネルを表示するには、ログテーブルのログレコード行を選択します。
このパネルには、レコード全体がJSON形式で表示され、各フィールドとその値の表も表示されます。
テーブルの特定のフィールドをさらに操作するには、フィールドの値を選択します。
Log Observerは5つのオプションを持つドロップダウンリストを表示します:
フィールドの値をクリップボードにコピーするには、 を選択します。
選択した値を含むログレコードのみを表示するようにログテーブルにフィルターをかけるには、 を選択します。
選択した値を含むログレコードを表示しないようにログテーブルをフィルターするには、 を選択します。
選択したフィールドに基づいて新しいログ処理ルールを作成するには、 を選択します。ログ処理装置を作成するためのフィールド抽出の詳細については、ログ処理ルールでデータを変換する を参照してください。
ログテーブルの新しい列としてフィールドを追加するには、 を選択します。
Select to go to the appropriate view in the Splunk Observability Cloud. For example, if you select a field related to Kubernetes, Splunk Observability Cloud displays related data in the Kubernetes Navigator. If you select fields related to APM, such as or , Splunk Observability Cloud displays the trace or span in the APM Navigator.