Log Observer Connectクエリを保存および共有する

Log Observer Connect クエリを共有することで、チームメンバーとコラボレーションできます。保存されるクエリには、フィルタ、集計、検索時間ルールが含まれます。

Log Observer Connect で便利なクエリを作成したら、それらを保存してチームメンバーと共有できます。保存されたクエリは、フィルタ、および検索中に適用した集計または検索時間ルールで構成されます。フィルタを作成した場合にのみ、クエリを保存できます。

フィルタの作成方法については、「キーワードやフィールドでログを検索する」を参照してください。Log Observer Connect には、デフォルトの集計はありません。一意の集約の作成方法については、「ログ集計を使用してフィールドごとにログをグループ化する」を参照してください。

注: すべての組織が、Kubernetes と Cassandra 用に事前定義されたクエリにアクセスできます。これらのクエリは、保存されたクエリのリストの先頭に表示されており、コンテンツパックに含まれています。コンテンツパックには、事前定義された保存済みクエリとログ処理ルールが含まれています。Splunk Observability Cloud には、Kubernetes System Events と Cassandra のコンテンツパックが含まれています。

また、クエリの結果を CSV ファイルや JSON ファイルとしてダウンロードすることもできます。方法については、「クエリ結果を CSV または JSON ファイルとしてエクスポート」を参照してください。

前提条件

Log Observer Connectクエリを保存共有するには、AdminまたはPowerユーザーのロールが必要です。

Log Observer Connectクエリを保存する

クエリを作成して保存するには、以下の手順に従ってください:

  1. コントロールバーで、タイムピッカーから希望の時間増分を選択し、[Index] フィールドで、検索するインデックスを選択します。[Add Filter] を選択し、キーワードまたはフィールドを入力します。

  2. 集計を設定するには、以下の手順に従います:

    1. 計算コントロールを使って、リストから必要な計算タイプを設定します。デフォルトは Count です。

    2. 集計したいフィールドを選択します。

    3. Group by テキストボックスに、グループ化したいフィールド名を入力します。

    4. Apply を選択します。

  3. [Save] メニューアイコンを選択し、リストから [Save Query] を選択します。[Save Query] ダイアログボックスが表示されます。

  4. Name テキストボックスに、クエリの名前を入力します。

  5. オプションで、Description テキストボックスにクエリを記述することができます。

  6. 必要に応じて、[Tags] テキストボックスに、自分やチームがクエリを見つけるのに役立つタグを入力します。Log Observer Connect は、以前に使用したタグを保存し、[Tags] テキストボックスに自動入力します。

  7. このクエリを公開クエリとして保存するには、[Filter sharing permissions set to public] を選択します。クエリを公開クエリとして保存すると、組織内のすべてのユーザーが Log Observer Connect でそのクエリを表示および削除できます。

Log Observer Connectの保存されたクエリを使用する

[Saved Queries] カタログでは、保存されたクエリを表示、共有、デフォルト設定、または削除できます。[Saved Queries] カタログにアクセスするには、コントロールバーに [Saved Queries] と入力します。

次の表は、[保存されたクエリ]カタログで実行できるアクションの一覧です。

希望するアクション

手順

保存したクエリを検索する

保存されたフィルターの名前またはタグを検索ボックスに入力します。

保存したクエリを表示または適用する

表示したいクエリの横にある Apply を選択します。

保存されたクエリをデフォルトとして設定する

クエリの More アイコンを選択し、Make default query on page load を選択します。

現在のデフォルトの保存クエリを変更する

クエリの [More] アイコンを選択し、[Unset as default query] を選択して、[Confirm] を選択します。次に、新しいデフォルトクエリを設定します。

保存されたクエリを[保存されたクエリ]カタログから削除する

クエリの More アイコンを選択し、Delete Query を選択します。

注: 保存したクエリをデフォルトに設定すると、Log Observer Connectを開いたときにそのクエリの結果が表示されます。

クエリ結果をCSVまたはJSONファイルとしてエクスポート

一度にダウンロードできるログは、たとえクエリで10,000件以上のログが返された場合でも、最大10,000件です。

クエリ結果をエクスポートするには、以下の手順に従ってください:

  1. [Logs] テーブルの上部にある [Download] をクリックします。

  2. ファイル名を入力してください。

  3. [CSV] または [JSON] を選択します。

  4. Download をクリックします。

注: ログが Splunk Cloud Platform または Splunk Enterprise に保存されている場合は、[Open in Splunk Platform] を使用します。Log Observer Connect を使用している場合は、ログを直接エクスポートできません。