Docs » Splunk Log Observer Connect » Log Observer Connectクエリを保存および共有する

Edit this page
Learn how

---

Log Observer Connectクエリを保存および共有する

Log Observer Connectで有用なクエリを作成したら、それを保存してチームメンバーと共有することができます。保存されたクエリは、フィルターと、検索中に適用した集計や検索時間ルールで構成されます。クエリを保存できるのは、フィルターを作成した場合のみです。

フィルターの作成方法については、キーワードやフィールドでログを検索する を参照してください。Log Observer Connectにはデフォルトの集約はありません。独自の集計を作成する方法については、ログ集計を使用してフィールドごとにログをグループ化する を参照してください。

注釈

すべての組織は、KubernetesとCassandraの定義済みクエリにアクセスできます。これらのクエリは保存されたクエリのリストの先頭に表示され、コンテンツパックの一部です。コンテンツパックには、定義済みの保存済みクエリだけでなく、ログ処理ルールも含まれます。Splunk Observability Cloud には、Kubernetes System Events と Cassandra 用のコンテンツパックが含まれています。

また、クエリの結果をCSVファイルやJSONファイルとしてダウンロードすることもできます。方法については、クエリ結果をCSVまたはJSONファイルとしてエクスポート を参照してください。

前提条件

Log Observer Connectクエリを保存共有するには、AdminまたはPowerユーザーのロールが必要です。

Log Observer Connectクエリを保存する

クエリを作成して保存するには、以下の手順に従ってください：

1. コントロールバーで、タイムピッカーから希望の時間増分を選択し、Index フィールドで、検索するインデックスを選択します。Add Filter を選択し、キーワードまたはフィールドを入力します。

2. 集計を設定するには、以下の手順に従います：

   1. 計算コントロールを使って、リストから必要な計算タイプを設定します。デフォルトは Count です。

   2. 集計したいフィールドを選択します。

   3. Group by テキストボックスに、グループ化したいフィールド名を入力します。

   4. Apply を選択します。

3. Save メニューアイコンを選択し、リストから Save Query を選択します。[クエリの保存] ダイアログボックスが表示されます。

4. Name テキストボックスに、クエリの名前を入力します。

5. オプションで、Description テキストボックスにクエリを記述することができます。

6. オプションで、Tags テキストボックスにタグを入力し、クエリの場所を確認することができます。Log Observer Connectは、以前に使用したタグを保存し、Tags テキストボックスに自動入力します。

7. このクエリをパブリッククエリとして保存するには、Filter sharing permissions set to public を選択します。クエリをパブリッククエリとして保存すると、組織内のすべてのユーザーがLog Observer Connectでそのクエリを表示および削除できます。

Log Observer Connectの保存されたクエリを使用する

[保存されたクエリ] カタログでは、保存されたクエリを表示、共有、デフォルト設定、または削除できます。[保存されたクエリ] カタログにアクセスするには、コントロールバーで Saved Queries をクリックします。

次の表は、[保存されたクエリ]カタログで実行できるアクションの一覧です。

希望するアクション	手順
保存したクエリを検索する	保存されたフィルターの名前またはタグを検索ボックスに入力します。
保存したクエリを表示または適用する	表示したいクエリの横にある Apply を選択します。
保存されたクエリをデフォルトとして設定する	クエリの More アイコンを選択し、Make default query on page load を選択します。
現在のデフォルトの保存クエリを変更する	クエリの More アイコンを選択し、次に Unset as default query を選択し、次に Confirm を選択します。次に、新しいデフォルトクエリを設定します。
保存されたクエリを[保存されたクエリ]カタログから削除する	クエリの More アイコンを選択し、Delete Query を選択します。

注釈

保存したクエリをデフォルトに設定すると、Log Observer Connectを開いたときにそのクエリの結果が表示されます。

クエリ結果をCSVまたはJSONファイルとしてエクスポート

一度にダウンロードできるログは、たとえクエリで10,000件以上のログが返された場合でも、最大10,000件です。

クエリ結果をエクスポートするには、以下の手順に従ってください：

1. ログテーブルの上部にある ダウンロード をクリックします。

2. ファイル名を入力してください。

3. CSV または JSON を選択します。

4. ダウンロード をクリックします。

注釈

ログが Splunk Cloud Platform または Splunk Enterprise に保存されている場合は、Open in Splunk Platform を使用してください。Log Observer Connect を使用している場合は、ログを直接エクスポートできません。

このページは 2024年10月03日 に最終更新されました。

---

❮

Previous

ログの論理的な時間はどこから来るのでしょうか？

Next

Log Observer のログデータを Splunk プラットフォームに転送する

❯

---

• API docs
• Blog
• Training
• Free Trial