Docs » Splunk Log Observer Connect » キーワードやフィールドでログを検索する

キーワードやフィールドでログを検索する 🔗

注釈

Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。

Splunk Observability Cloud インスタンスがログを取り込んでいる場合、Splunk Observability Cloud のログを検索できます。組織で Splunk platform (Splunk Cloud Platform または Splunk Enterprise) インスタンスを Splunk Observability Cloud インスタンスと統合している場合、Splunk platform で表示する権限を持つ Splunk platform ロールのログを検索できます。Splunk platform インスタンスでログにアクセスできない場合は、Splunk Observability Cloud でもログにアクセスできません。

特定のキーワード、フィールド名、またはフィールド値について、閲覧権限のあるログを検索することができます。

ログを検索するには、以下の手順に従ってください:

  1. Log Observer にアクセスします。コンテンツコントロールバーのタイムピッカーに時間範囲を入力します。

  2. Select Index next to Saved Queries, then select the indexes you want to query. If you want to search your Splunk platform (Splunk Cloud Platform or Splunk Enterprise) data, select the integration for the appropriate Splunk platform instance first, then select which index you want to query in Log Observer. You can only query indexes from one Splunk platform instance or Splunk Observability Cloud instance at a time. You can only query Splunk platform indexes if you have the appropriate role and permissions in the Splunk platform instance. Select Apply.

  3. インデックスピッカーの隣にあるコンテンツコントロールバーで、Add Filter を選択します。

  4. キーワードで検索するには、Keyword タブを選択し、検索したいキーワードまたは語句を入力し、Enter キーを押します。フィールドで検索する場合は、Fields タブを選択し、フィールド名を入力し、Enter キーを押します。

  5. 検索にキーワードやフィールドの追加を続けるには、Add Filter を選択します。

  6. 右側の Fields パネルで、クエリの上位の値を確認します。このリストには、ログレコード内の各値のカウントが含まれます。特定の値のログレコードを含めるには、フィールド名を選択し、= を選択します。特定の値を持つログレコードを結果から除外するには、フィールド名を選択し、!= を選択します。このフィールドの値と分布の完全なリストを表示するには、Explore all values を選択します。

  7. オプションとして、Splunkプラットフォーム(Splunk Cloud PlatformまたはSplunk Enterprise)のデータを表示している場合は、Splunkプラットフォーム内でクエリ結果を開いて、SPLを使用してクエリ結果をさらにフィルタリングしたり、操作したりすることができます。これにはSplunkプラットフォームのアカウントが必要です。Splunkプラットフォームでログ結果を開くには、Logsテーブルの上部にある Open in Splunk platform アイコンを選択します。

    [Splunk プラットフォームで開く] アイコンは、[ログ] テーブルの上部右側にあります。

フィルターにキーワード、フィールド名、またはフィールド値を追加すると、Log Observerはタイムラインとログテーブルの結果を絞り込み、選択したフィールドと値を含むレコードだけが表示されるようにします。今後どのように生産的な検索を使用できるかについては、Log Observerクエリを保存および共有する を参照してください。

This page was last updated on 2024年05月28日.