Log Observerクエリを保存および共有する 🔗
注釈
Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。
After you create useful queries in Log Observer, you can save them and share them with team members. You can only save or share queries on the Splunk Observability Cloud data index. A saved query is made up of a filter and any aggregations or search-time rules you applied during the search. You can only save a query if you have created a filter. Only customers with a Splunk Log Observer entitlement in Splunk Observability Cloud can save and share Log Observer queries.
フィルターの作成方法については、キーワードやフィールドでログを検索する を参照してください。Log Observer Connectにはデフォルトの集約はありません。Log Observerのデフォルトは、Severity でグループ化された All (*)` ログです。独自の集計を作成する方法については、ログ集計を使用してフィールドごとにログをグループ化する を参照してください。検索時間ルールを作成する方法については、過去のデータに処理ルールを適用する を参照してください。
注釈
すべての組織は、KubernetesとCassandraの定義済みクエリにアクセスできます。これらのクエリは保存されたクエリのリストの先頭に表示され、コンテンツパックの一部です。コンテンツパックには、定義済みの保存済みクエリだけでなく、ログ処理ルールも含まれます。Splunk Observability Cloud には、Kubernetes System Events と Cassandra 用のコンテンツパックが含まれています。
また、クエリの結果をCSVファイルやJSONファイルとしてダウンロードすることもできます。方法については、クエリ結果をCSVまたはJSONファイルとしてエクスポート を参照してください。
前提条件 🔗
Log Observerクエリを保存共有するには、 Admin または Power ユーザーのロールが必要です。
Log Observer クエリを保存する 🔗
クエリを作成するには、以下の手順に従ってください:
In the control bar, select the desired time increment from the time picker, then in the Index field, select Splunk Observability Cloud data. Select Add Filter, then enter a keyword or field.
デフォルトのアグリゲーションをオーバーライドするには、以下の手順に従ってください:
計算コントロールを使って、リストから必要な計算タイプを設定します。デフォルトは Count です。
集計したいフィールドを選択します。
Group by テキストボックスに、グループ化したいフィールド名を入力します。
Apply を選択します。
Save メニューアイコンを選択し、リストから Save Query を選択します。[クエリの保存] ダイアログボックスが表示されます。
Name テキストボックスに、クエリの名前を入力します。
オプションで、Description テキストボックスにクエリを記述することができます。
オプションで、Tags テキストボックスにタグを入力し、クエリの場所を確認することができます。Log Observerは、以前に使用したタグを保存し、Tags テキストボックスに自動入力します。
このクエリをパブリッククエリとして保存するには、Filter sharing permissions set to public を選択します。クエリをパブリッククエリとして保存すると、組織内のすべてのユーザーが Log Observer でそのクエリを表示および削除できます。
Log Observerの保存されたクエリを使用する 🔗
[保存されたクエリ] カタログでは、保存されたクエリを表示、共有、デフォルト設定、または削除できます。[保存されたクエリ] カタログにアクセスするには、コントロールバーで Saved Queries をクリックします。
次の表は、[保存されたクエリ]カタログで実行できるアクションの一覧です。
希望するアクション |
手順 |
|---|---|
保存したクエリを検索する |
保存されたフィルターの名前またはタグを検索ボックスに入力します。 |
保存したクエリを表示または適用する |
表示したいクエリの横にある Apply を選択します。 |
保存されたクエリをデフォルトとして設定する |
クエリの More アイコンを選択し、Make default query on page load を選択します。 |
現在のデフォルトの保存クエリを変更する |
クエリの More アイコンを選択し、次に Unset as default query を選択し、次に Confirm を選択します。次に、新しいデフォルトクエリを設定します。 |
保存されたクエリを[保存されたクエリ]カタログから削除する |
クエリの More アイコンを選択し、Delete Query を選択します。 |
注釈
保存したクエリをデフォルトに設定すると、Log Observerを開いたときにそのクエリの結果が表示されます。
クエリ結果をCSVまたはJSONファイルとしてエクスポート 🔗
一度にダウンロードできるログは、たとえクエリで10,000件以上のログが返された場合でも、最大10,000件です。
クエリ結果をエクスポートするには、以下の手順に従ってください:
ログテーブルの上部にある ダウンロード をクリックします。
ファイル名を入力してください。
CSV または JSON を選択します。
ダウンロード をクリックします。
注釈
ログが Splunk Cloud Platform または Splunk Enterprise に保存されている場合は、Open in Splunk Platform を使用してください。Log Observer Connect を使用している場合は、ログを直接エクスポートできません。
This page was last updated on 2024年05月28日.