検証環境
Splunk Enterprise 9.2.1
はじめに
Splunkで今使ってるインデックス一覧をSPLで取得してみた話。
SPL
(1) rest
SPL
| rest /services/data/indexes
| table title
_internal など _から始まるインデックスは、Splunk内部で使用されるシステムのインデックスです。
(2) eventcount
SPL
| eventcount summarize=false index=*
| dedup index
| table index
こちらは内部インデックスは含まれません。
終わりに
restで取得する情報はインデックスだけでは無く、他のリストも表示する事が可能です。