Docs » Splunk Log Observer Connect » Save and share Log Observer Connect queries

Save and share Log Observer Connect queries 🔗

After you create useful queries in Log Observer Connect, you can save them and share them with team members. A saved query is made up of a filter and any aggregations or search-time rules you applied during the search. You can only save a query if you have created a filter.

To learn how to create filters, see キーワードやフィールドでログを検索する. Log Observer Connect has no default aggregation. To learn how to create a unique aggregation, see ログ集計を使用してフィールドごとにログをグループ化する.

注釈

すべての組織は、KubernetesとCassandraの定義済みクエリにアクセスできます。これらのクエリは保存されたクエリのリストの先頭に表示され、コンテンツパックの一部です。コンテンツパックには、定義済みの保存済みクエリだけでなく、ログ処理ルールも含まれます。Splunk Observability Cloud には、Kubernetes System Events と Cassandra 用のコンテンツパックが含まれています。

また、クエリの結果をCSVファイルやJSONファイルとしてダウンロードすることもできます。方法については、クエリ結果をCSVまたはJSONファイルとしてエクスポート を参照してください。

前提条件 🔗

To save and share Log Observer Connect queries, you must have an administrator or power user role.

Save a Log Observer Connect query 🔗

To create and save a query, follow these steps:

  1. In the control bar, select the desired time increment from the time picker, then in the Index field, select the index you want to search. Select Add Filter, then enter a keyword or field.

  2. To set an aggregation, follow these steps:

    1. 計算コントロールを使って、リストから必要な計算タイプを設定します。デフォルトは Count です。

    2. 集計したいフィールドを選択します。

    3. Group by テキストボックスに、グループ化したいフィールド名を入力します。

    4. Apply を選択します。

  3. Save メニューアイコンを選択し、リストから Save Query を選択します。[クエリの保存] ダイアログボックスが表示されます。

  4. Name テキストボックスに、クエリの名前を入力します。

  5. オプションで、Description テキストボックスにクエリを記述することができます。

  6. Optionally, in the Tags text box, enter tags to help you and your team locate the query. Log Observer Connect stores tags you’ve used before and auto-populates the Tags text box.

  7. To save this query as a public query, select Filter sharing permissions set to public. When you save a query as a public query, any user in your organization can view and delete it in Log Observer Connect.

Use Log Observer Connect saved queries 🔗

[保存されたクエリ] カタログでは、保存されたクエリを表示、共有、デフォルト設定、または削除できます。[保存されたクエリ] カタログにアクセスするには、コントロールバーで Saved Queries をクリックします。

次の表は、[保存されたクエリ]カタログで実行できるアクションの一覧です。

希望するアクション

手順

保存したクエリを検索する

保存されたフィルターの名前またはタグを検索ボックスに入力します。

保存したクエリを表示または適用する

表示したいクエリの横にある Apply を選択します。

保存されたクエリをデフォルトとして設定する

クエリの More アイコンを選択し、Make default query on page load を選択します。

現在のデフォルトの保存クエリを変更する

クエリの More アイコンを選択し、次に Unset as default query を選択し、次に Confirm を選択します。次に、新しいデフォルトクエリを設定します。

保存されたクエリを[保存されたクエリ]カタログから削除する

クエリの More アイコンを選択し、Delete Query を選択します。

注釈

If you set a saved query as default, when you open Log Observer Connect, it displays the result of that query.

クエリ結果をCSVまたはJSONファイルとしてエクスポート 🔗

一度にダウンロードできるログは、たとえクエリで10,000件以上のログが返された場合でも、最大10,000件です。

クエリ結果をエクスポートするには、以下の手順に従ってください:

  1. ログテーブルの上部にある ダウンロード をクリックします。

  2. ファイル名を入力してください。

  3. CSV または JSON を選択します。

  4. ダウンロード をクリックします。

注釈

ログが Splunk Cloud Platform または Splunk Enterprise に保存されている場合は、Open in Splunk Platform を使用してください。Log Observer Connect を使用している場合は、ログを直接エクスポートできません。

This page was last updated on 2024年10月03日.