まず、下記のインストール済みのHotfixの一覧を作成する必要があります。
wmic qfe list full /format:csv > hotfix.csv
メモ帳でhotfix.csvを開くと、下記のような内容となっています。
Node,Caption,CSName,Description,FixComments,HotFixID,InstallDate,InstalledBy,InstalledOn,Name,ServicePackInEffect,Status TestPC,Microsoft-Windows-ADRMS-BPA,TestPC,Update,,KB981391,,TestPC\Administrator,11/16/2012,,, TestPC,Microsoft-Windows-ApplicationServer-BPA,TestPC,Update,,KB981392,,TestPC\Administrator,11/16/2012,,, TestPC,Microsoft-Windows-DHCP-BPA,TestPC,Update,,KB977236,,TestPC\Administrator,11/16/2012,,,
CSVファイルはUnicodeで保存されるので、メモ帳の「名前を付けて保存」でUTF-8に変換します。
Splunkのトップページを開いてデータ追加をクリックします。
データの追加画面でアップロードをクリックします。
ファイル選択画面で、下記の区域にhotfix.csvをダラッグ&ドロップします。
数百行のCSVファイルなら一瞬でアップロードできます。下記のような完了画面が表示されます。
画面の上側の「次へ」ボタンをクリックして次に進みます。
次のソースタイプ設定画面では、下記のようにPC名、HotFixID等列が自動的に識別できたことを確認できます。
同じ画面の左側でソースタイプ設定を確認できます。下記のように自動的にビルドインのCSVタイプとして認識されました。CSVの区切り文字をタブ、スペース等に変換することもできます。
しかし、日付は正しく認識されていません。Splunkは日時の項目を発見できなかったので、インポート時の日時を付けました。
この問題を直すには、タイムスタンプを設定する必要があります。下記のようにタイムゾーンを東京に設定し、タイスタンプの形式を%m/%d/%Yの設定します。Timestamp fieldsにはタイスタンプの列のタイトルを設定します。
タイムスタンプの形式はPythonのstrptime()関数と同じです。「詳細」をクリックすれば説明画面が表示されます。%Yは4桁の年、%mは月、%dは日という具合です。
正しく設定すればプレビューの警告が消えるはずです。
画面左側の「名前を付けて保存」ボタンをクリックして、hotfix_csvという名前で今の設定を保存します。次回からSourcetypeドロップダウンリストからこの名前を選択すれば良いです。
画面の上側の次へを3回押して、完了画面まで進み、「Start Searching」ボタンを押します。
これでHotfixのCSVファイルのインポートが完了しました。Splunk検索画面で自由検索と集計ができます。