Splunk プラットフォームでログを開く 🔗
Splunk Observability Cloud インスタンスがログをインジェストしている場合、Splunk Observability Cloud のログを検索できます。組織で Splunk プラットフォーム (Splunk Cloud Platform または Splunk Enterprise) インスタンスを Splunk Observability Cloud インスタンスと統合している場合、Splunk プラットフォームで表示する権限を持つ Splunk プラットフォームロールのログを検索できます。また、SPL クエリを追加するために Splunk platform でログを開くこともできます。
Splunk プラットフォームでログを開くには、以下の手順に従います:
Navigate to Log Observer. Upon opening, Log Observer runs an initial search of all indexes you have access to and returns the most recent 150,000 logs. The search then defaults to Pause in order to save Splunk Virtual Compute (SVC) resources. Control your SVC resources, which impact performance and cost, by leaving your search on Pause when you are not monitoring incoming logs, and select Play when you want to see more incoming logs.
注釈
To increase performance and help control cost, search jobs originating from Related Content stop running after 2 minutes of inactivity. All other search jobs stop running after fifteen minutes.
In the content control bar, enter a time range in the time picker if you want to see logs from a specific historical period. To select a time range, you must select Infinite from the Search Records field in step 5 below. When you select 150,000, Log Observer returns only the most recent 150,000 logs regardless of the time range you select.
Select Index next to Saved Queries, then select the indexes you want to query. When you do not select an index, Log Observer runs your query on all indexes to which you have access. If you want to search your Splunk platform (Splunk Cloud Platform or Splunk Enterprise) data, select the integration for the appropriate Splunk platform instance first, then select which index you want to query in Log Observer. You can query indexes from only one Splunk platform instance or Splunk Observability Cloud instance at a time. You can query Splunk platform indexes only if you have the appropriate role and permissions.
In the content control bar next to the index picker, select Add Filter. Select the Keyword tab to search on a keyword or phrase. Select the Fields tab to search on a field. Then press Enter. To continue adding keywords or fields to the search, select Add Filter again.
Next, select Unlimited or 150,000 from the Search Records field to determine the number of logs you want to return on a single search. Select 150,000 to optimize your Splunk Virtual Compute (SVC) resources and control performance and cost. However, only the most recent 150,000 logs display. To see a specific time range, you must select Infinite.
To narrow your search, use the Group by drop-down list to select the field or fields by which you want to group your results, then select Apply. To learn more about aggregations, see ログ集計を使用してフィールドごとにログをグループ化する.
Select Run search.
右側の Fields パネルで、クエリの上位の値を確認します。このリストには、ログレコード内の各値のカウントが含まれます。特定の値のログレコードを含めるには、フィールド名を選択し、
=を選択します。特定の値を持つログレコードを結果から除外するには、フィールド名を選択し、!=を選択します。このフィールドの値と分布の完全なリストを表示するには、Explore all values を選択します。Optionally, if you are viewing Splunk platform data, you can open your query results in the Splunk platform and use SPL to further query the resulting logs. You must have an account in Splunk platform. To open the log results in the Splunk platform, select the Open in Splunk platform icon at the top of the Logs table.
![[Splunk プラットフォームで開く] アイコンは、[ログ] テーブルの上部右側にあります。](../_images/lo-openinsplunk1.png)
フィルターにキーワード、フィールド名、またはフィールド値を追加すると、Log Observerはタイムラインとログテーブルの結果を絞り込み、選択したフィールドと値を含むレコードだけが表示されるようにします。今後どのように生産的な検索を使用できるかについては、Save and share Log Observer Connect queries を参照してください。