キーワードやフィールドでログを検索する 🔗
Log Observer Connectでは、Splunkプラットフォームのロールに表示するためのアクセス許可があるSplunkプラットフォームのログを検索できます。Splunkプラットフォームインスタンスでログにアクセスできない場合は、Splunk Observability Cloudでもログにアクセスできません。Splunk Observability Cloudインスタンスがログを取り込む場合は、Splunk Observability Cloudのログを検索できます。
キーワード、フィールド名、またはフィールド値を検索できます。ログを検索するには、以下の手順に従ってください:
Log Observer に移動します。開くと、Log Observerはアクセス可能なすべてのインデックスの初期検索を実行し、最新の150,000件のログを返します。その後、Splunk Virtual Compute (SVC)リソースを節約するために、検索はデフォルトで一時停止になります。受信ログを監視していないときは検索を一時停止のままにし、より多くの受信ログを見たいときは再生を選択することで、パフォーマンスとコストに影響するSVCリソースを制御します。
注釈
パフォーマンスを向上させ、コストを管理するために、関連コンテンツから発信される検索ジョブは、2分間操作がないと実行を停止します。他のすべての検索ジョブは15分後に実行を停止します。
コンテンツコントロールバーで、特定の過去の期間のログを見たい場合は、タイムピッカーに時間範囲を入力します。時間範囲を選択するには、下のステップ5で Search Records フィールドから Infinite を選択する必要があります。150,000 を選択すると、Log Observerは、選択する時間範囲に関係なく、最新の150,000件のログのみを返します。
Select Index next to Saved Queries, then select the indexes you want to query. When you do not select an index, Log Observer runs your query on all indexes to which you have access. If you want to search your Splunk platform (Splunk Cloud Platform or Splunk Enterprise) data, select the integration for the appropriate Splunk platform instance first, then select which index you want to query in Log Observer. You can query indexes from only one Splunk platform instance or Splunk Observability Cloud instance at a time. You can query Splunk platform indexes only if you have the appropriate role and permissions.
インデックスピッカーの隣にあるコンテンツコントロールバーで、Add Filter を選択します。キーワードまたはフレーズで検索するには、Keyword タブを選択します。フィールドを検索するには、Fields タブを選択します。その後でEnterを押します。検索にキーワードやフィールドを続けて追加するには、Add Filter を再度選択します。
次に、Search Records フィールドから Unlimited または 150,000 を選択し、1回の検索で返したいログの数を決定します。 150,000 を選択すると、Splunk Virtual Compute (SVC)リソースを最適化し、パフォーマンスとコストを制御できます。ただし、表示されるのは最新の 150,000件のログのみです。特定の時間範囲を表示するには、Infinite を選択する必要があります。
検索結果を絞り込むには、Group by ドロップダウンリストを使用して、結果をグループ化するフィールドを選択し、Apply を選択します。集計の詳細については、ログ集計を使用してフィールドごとにログをグループ化する を参照してください。
Select Run search.
右側の Fields パネルで、クエリの上位の値を確認します。このリストには、ログレコード内の各値のカウントが含まれます。特定の値のログレコードを含めるには、フィールド名を選択し、
=を選択します。特定の値を持つログレコードを結果から除外するには、フィールド名を選択し、!=を選択します。このフィールドの値と分布の完全なリストを表示するには、Explore all values を選択します。Optionally, if you are viewing Splunk platform data, you can open your query results in the Splunk platform and use SPL to further query the resulting logs. You must have an account in Splunk platform. To open the log results in the Splunk platform, select the Open in Splunk platform icon at the top of the Logs table.
![[Splunk プラットフォームで開く] アイコンは、[ログ] テーブルの上部右側にあります。](../_images/lo-openinsplunk1.png)
When you add keywords, field names, or field values to the filters, Log Observer Connect narrows the results in the Timeline and the Logs table so that only records containing the selected fields and values appear. To learn how you can reuse a productive search in the future, see Save and share Log Observer Connect queries.