Splunk 教程

Splunk 共享和导出

根据我们的需要,有多种方法可以以多种格式共享和导出文件。我们甚至可以设置作业的到期时间并延长它。在本节中,我们将导出我们在数据中进行的搜索的文件和报告。除此之外,我们还将查看和比较作业、对作业进行排序、创建作业并延长作业的有效期。

分享工作和导出结果

我们可以与其他 Splunk 用户共享作业,或导出以存档事件数据,或将其与第三方图表程序一起使用。

与他人分享工作。

共享工作时,我们会共享特定搜索运行的结果。

我们可以通过多种方式与其他 Splunk 用户共享特定作业。为了与其他用户共享我们的工作,我们可以更改搜索工作的权限。我们还可以通过将URL发送给Splunk用户来共享工作以搜索工作。

我们只能修改权限,或共享与我们当前工作的连接。

更改作业权限

通过更改权限,我们可以在该作业上共享作业。默认情况下,所有作业都是私有的。

  1. 在作业菜单中,选择编辑作业设置以显示作业设置对话框。

  2. 将读取权限更改为所有人。

  3. 点击保存

共享工作 URL

通过为他们提供与工作的连接,我们可以与其他 Splunk 用户共享工作。如果我们希望其他人看到工作产生的结果,这很有用。

我们向其发送连接的用户必须有权使用作业所属的设备。

决定使用哪种方法来获得与工作的联系。我们可以使用共享图标或工作菜单。

要使用共享图标:

  1. 点击这个Splunk 共享和导出此图标是搜索操作图标之一。

  2. 复制 URL,然后将链接发送给我们要在“工作链接”文本框中共享工作结果的人。

工作权限自动更改为Everyone,工作寿命自动延长至7天。

要使用作业菜单:

  1. 作业菜单中,选择编辑作业设置以显示作业设置对话框。

  2. 现在将给定选项中的读取权限更改为所有人如果作业的权限设置为Private,则其他用户无法通过该链接访问该作业。

  3. 将Lifetime更改7 days

  4. 现在,复制链接并将链接发送给我们要与之共享工作结果的用户。

我们也可以使用书签图标来保存连接以供我们使用。书签图标将出现在“工作设置”对话框和“共享就业”对话框中。我们可以单击书签图标并将其拖动到 Web 浏览器的书签栏。

管理搜索工作

我们可以使用“工作”页面来查看和管理我们拥有的任何工作。

如果我们有 Admin 角色或具有等效功能集的角色,我们可以管理 Splunk 实施的所有用户运行的搜索作业。

打开工作页面

  • 要查看我们的工作列表,请单击活动,然后单击工作选项。它将打开工作页面。

它显示不同类型的作业列表。

  • 生成的作业来自我们最近手动运行的临时搜索或数据透视。

  • 在加载仪表板或打开报告时运行搜索作业。

  • 预定搜索的作业。

刷新作业列表

“作业”选项卡中的工作清单不会自动刷新。

  • 在我们想象 Jobs 页面之后创建的 Jobs 将不可用,直到我们重新加载 Jobs 页面。

  • 如果在 Jobs 页面打开时 Job 过期,Work 将出现在 Jobs 页面列表中,但我们看不到 Job 详细信息。

重新加载选项卡以刷新工作选项卡。

作业操作

Actions 列可用于对作业执行操作。

使用“工作”下拉菜单更改工作设置、延长工作期限、审核工作或删除工作。

使用操作图标暂停、停止交换和导出作业。

选择作业并按 Edit Selected 以对多个作业执行这些操作。然后选择我们希望执行的操作。

查看和比较工作

我们将看到最近发送或保存的作业列表以供以后分析。我们正在使用该列表来比较作业统计信息,包括运行时间、匹配事件的总数、大小等。

活动作业数

列表中的作业总数显示在作业选项卡的右上角。

该计数表示我们一直在打开工作列表的工作数量。如果作业页面打开时作业过期,它不会刷新工作计数。

对工作列表进行排序

默认情况下,在 Splunk 中,作业列表按 Made 按列排序。

我们可以按列标题中的任何列对列表进行排序,其中显示了一个排序按钮。我们可以对列表进行排序,例如,按工作的到期时间或工作所有者。

  • 要按升序对列表进行排序,请单击列标题一次。要按降序对列表进行排序,请再次单击。

筛选工作列表

我们可以按应用程序、所有者和状态过滤作业列表。

  • 在“过滤器”框中,键入出现在搜索条件中的术语或表达式以过滤列表。

例如,我们可以在 Filter 框中指定磁盘使用情况,EMBED AND diskUsage=8*,或者 label=EMBED AND diskUsage=8*。

查看求职结果

我们可以显示出现在“工作”页面上的搜索结果。

1. 要显示与特定作品相关的结果,请单击搜索按钮。

O 对于临时搜索,搜索条件是关系。

O 对于已保存的搜索,报告名称、仪表板面板或数据透视面板中的链接。

结果将在搜索应用程序的视图中打开。

检查正在进行的作业的进度。

我们可以检查由预定搜索、实时搜索和长时间运行的历史搜索分派的作业。

使用状态栏来测试正在进行的工作的进度。状态列显示记录事件的数量。现在的工人有工作身份。在后台工作的作业具有后台状态。

更改每页作业计数。

我们可以更改每页列表中显示的作业数量。默认设置是每页显示 10 个作业。我们可以在窗口右侧每页查看 10、20 或 50 个作业。

检查工作

我们可以检查一项工作,以更仔细地了解搜索正在做什么,以了解 Splunk 应用程序将大部分处理时间用于何处。

使用搜索工作检查器显示当前工作详细信息,例如执行工作的成本和搜索工作资产。

  1. 对于特定的工作,单击操作选项卡中的工作。

  2. 选择工作检查。

有关使用搜索职位检查器的更多信息,请参阅查看搜索职位属性。

延长搜索工作的生命周期

有很多方法可以从“职业”选项卡更改职业的寿命。请参阅延长工作时间以了解有关不同类型工人的寿命的更多信息。

快速延长工作寿命。

我们可以快速延长工作的生命周期。

  1. 在特定作业的操作列中,选择作业。

  2. 选择延长作业有效期。

延长多个作业的寿命

我们可以同时延长多个工作的生命周期。

  1. 选择我们想要延长其生命周期的工作。

  2. 在作业列表上方,单击编辑选定项。

  3. 选择延长到期时间。

将作业结果导出到文件中。

我们可以以多种格式导出工作结果,包括 CSV、JSON、PDF、原始事件和 XML。然后我们可以存储该文件,或将其与第三方的图表程序一起使用。格式选择取决于我们正在使用的工作工件类型。

  • 如果搜索正在生成统计选项卡上显示的计算数据,我们无法使用原始事件格式导出搜索。

  • 如果 Splunk 中的搜索是已保存的搜索,例如 Report,我们可以将其导出为 PDF 格式。

将导出的文件将保存在我们浏览器或操作系统的默认下载目录中。

有几种分发搜索结果的方法。其中一些包括 Splunk 网络、CLI、SDK 和 REST 方法。许多方法是为数量而设计的,而另一些方法则适用于非常大的事件集。

有关导出方法的完整列表和指向特定步骤的链接,请参阅导出搜索结果。


上一主题 Splunk 时间搜索 2 下一主题 Splunk SQL 到 SPL
  • 使用社交账号登录,本站支持
全部评论(0)

便捷工具