Splunk プラットフォームでログを開く

ログを Splunk Cloud または Splunk Enterprise で開き、SPL クエリを追加します。

Splunk Observability Cloud インスタンスがログを取り込んでいる場合は、Splunk Observability Cloud ログを検索できます。組織で Splunk プラットフォーム(Splunk Cloud Platform または Splunk Enterprise)インスタンスを Splunk Observability Cloud インスタンスと統合している場合、Splunk プラットフォームロールが Splunk プラットフォームでで表示する権限を持つ Splunk プラットフォームログを検索できます。追加の SPL クエリを実行するために Splunk プラットフォームでログを開くこともできます。

Splunk プラットフォームでログを開くには、以下の手順に従います:

  1. 特定の履歴期間のログを表示する場合は、コンテンツコントロールバーのタイムピッカーに時間範囲を入力します。時間範囲を選択するには、次に示すステップ 4 で [Search Records] フィールドから [Unlimited] を選択する必要があります。 [150,000] を選択すると、Log Observer Connect は選択した時間範囲に関係なく、最新の 150,000 件のログのみを返します。Log Observer Connect の UI が表示されます。
    注: パフォーマンス向上とコスト管理のため、Log Observer Connect は非アクティブな状態が 2 分続くと、関連コンテンツからの検索ジョブを停止します。他のすべての検索ジョブは 15 分後に実行を停止します。

  2. 検索が正しいインデックスに設定されていることを確認します。 [Saved Queries] の横にある [Index] を選択します。ポップアップウィンドウの [Connection Selection] セクションで、まず Splunk プラットフォーム(Splunk Cloud Platform または Splunk Enterprise)接続を選択します。次に、[Index Selection] セクションで、Log Observer Connect にクエリするインデックスを選択します。インデックスを選択しない場合、次の動作が発生します。

    1. 初めて検索を実行する場合、Log Observer Connect はアクセス権を持つすべてのインデックスの検索を最初に実行し、最新の 150,000 件のログを返します。Splunk Virtual Compute(SVC)リソースを節約するため、検索はその後デフォルトで [Pause] になります。受信ログをモニターしないときは検索を [Pause] のままにし、受信ログをさらに表示するときは [Play] を選択して、パフォーマンスとコストに影響を与える SVC リソースを制御します。

    2. Log Observer Connect の使用が初めてではなく、メインインデックスを定義している場合、検索はデフォルトでメインインデックスに設定されます。メインインデックスを定義していない場合、検索はデフォルトでインデックスリストの最初のインデックスに設定されます。1 つ以上のインデックスを選択してクエリを実行すると、Log Observer Connect はデフォルトで以前に選択したインデックスに設定されます。

    3. Splunk Observability Cloud の別のエリアにある関連ログを選択して Log Observer Connect を開始すると、Log Observer Connect 検索はデフォルトですべてのインデックスに設定され、関連するすべてのログを検索します。
      注: 一度に 1 つの Splunk プラットフォーム インスタンスからのみインデックスをクエリできるため、接続は 1 つだけ選択する必要があります。Splunk プラットフォームのインデックスをクエリできるのは、Splunk プラットフォームで適切なロールと権限を持っている場合のみです。

  3. インデックスピッカーの隣にあるコンテンツコントロールバーで、[Add Filter] を選択します。キーワードやフレーズを検索するには、[Keyword] タブを選択します。フィールドを検索するには、[Fields] タブを選択します。次に、Enter キーを押します。検索にキーワードやフィールドの追加を続けるには、再度 [Add Filter] を選択します。作成後にフィルタを編集するには、フィルタピルを選択し、フィルタ値インラインを編集します。

  4. 次に、[Search Records] フィールドから [Unlimited] または [150,000] を選択して、1 回の検索で返すログの数を指定します。[150,000] を選択して、Splunk Virtual Compute(SVC)リソースを最適化し、パフォーマンスとコストを制御します。ただし、最新の 150,000 件のログのみが表示されます。特定の時間範囲を表示するには、[Infinite] を選択する必要があります。

  5. 検索結果を絞り込むには、[Group by] ドロップダウンリストを使用して、結果をグループ化するフィールドを選択し、[Apply] を選択します。集計の詳細については、「ログ集計を使用してフィールドごとにログをグループ化する」を参照してください。

  6. Run search を選択します。

  7. (オプション)現在の検索を停止する場合は、[Cancel search] を選択します。部分的な結果は表示されません。検索を続行するには、[Run search] を再度選択します。

  8. 右側の [Fields] パネルで、クエリの上位値を確認します。このリストには、ログレコード内の各値の数が含まれています。特定の値を持つログレコードを含めるには、フィールド名を選択してから、[=] を選択します。結果から特定の値を持つログレコードを除外するには、フィールド名を選択してから、[!=] を選択します。このフィールドの値と分布の完全なリストを表示するには、[Explore all values] を選択します。

  9. (オプション)Splunk プラットフォームデータを表示している場合、Splunk プラットフォームでクエリ結果を開き、SPL を使用して結果のログをさらにクエリできます。Splunk プラットフォームのアカウントが必要です。Splunk プラットフォームでログ結果を開くには、Logs テーブルの上部にある [Open in Splunk platform] アイコンを選択します。

    [Splunkプラットフォームで開く]アイコンは、Logsテーブル上部の右側にあります。フィルタにキーワード、フィールド名、またはフィールド値を追加すると、Log Observer Connect は [Timeline] テーブルと [Logs] テーブルの結果を絞り込み、選択したフィールドと値を含むレコードだけが表示されるようにします。将来、生産性の高い検索を再利用する方法については、「Log Observer Connect クエリを保存および共有する」を参照してください。

フィルタにキーワード、フィールド名、またはフィールド値を追加すると、Log Observer Connect は [Timeline] テーブルと [Logs] テーブルの結果を絞り込み、選択したフィールドと値を含むレコードだけが表示されるようにします。将来、生産性の高い検索を利用する方法については、「Log Observer Connect クエリを保存および共有する」を参照してください。