よく使うのでメモ。
実施環境: Splunk Free 8.2.2
検索結果の CSV 出力
Splunk で実行したサーチの結果は、 CSV ファイルとしてブラウザ経由でダウンロードできます。
方法は非常に簡単です。
まずは、 SPL 文の入力フォームの右下にある、下向き矢印のボタン(画像の赤枠で囲っている箇所)を押します。
このボタンを押すと、ダウンロードの設定画面が開きます。
フォーマットは XML や JSON も選択できますが、大抵は CSV でダウンロードすることになるかと思います。
ファイル名は拡張子まで含めた指定でも、含めない指定でもよいです。
含めない場合、適宜拡張子が適用されます。
結果数は基本空白でよいですが、ダウンロードする行数を制限したい場合は指定してください。
設定を行ったら、あとはエクスポートボタンを押すだけです。
たったこれだけで、サーチ結果がダウンロードできます。
ダッシュボードの CSV 出力
ダッシュボード上のサーチの場合も同様です。
一見ダウンロードボタンがないように見えますが、表やグラフにカーソルを合わせると右下に出てきます(画像の赤枠で囲っている箇所)。
出力ファイルの中身
CSV の中身は、以下のような感じになります。
_time が ISO8601 の形式となる点に注意が必要です。
値の形式や列名をきっちり指定したい場合は、 SPL 文中で整形してからダウンロードするようにしましょう。
また、文字コードにも注意が必要です。
特にエクセルで開く際は UTF-8 等だと文字化けしてしまうので、適宜 SJIS に変換する必要があります。
ちなみに、 XML や JSON の場合は以下のような感じです。
ダッシュボードの PDF 出力
ダッシュボードの場合は、 CSV や XML でのダウンロードのほかに、 PDF でのダウンロードも可能です。
右上の「エクスポート」から、「PDFのエクスポート」を選択してください。
「ダッシュボードID-YYYY-MM-DD.pdf」というファイル名で、以下のようなPDFが生成されます。
表のダウンロードとしては使いにくいですが、グラフをダウンロードするのには便利です。