検証環境
Splunk Enterprise 9.2.1
はじめに
SPLはパイプ(|)が出てきたからといって別に改行しなくてもいいんだけど、改行した方が見やすいし、何より理解しやすい。1行でずらーーーーっと書かれたSPLは読む気が失せる。手動で改行していくのも面倒臭い。そんな方向けの話です。
[1] 自らがSPLを書く時
パイプ(|)を入力したら勝手に改行してくれたら嬉しい。それ、出来ます。
- Splunk Webにログイン
- ログインしたユーザ名をクリック
- 「基本設定」をクリック
- 「SPLエディター」タブをクリック
- 「詳細エディター」がOFFの場合はONに変更
- 「全体」タブの「サーチオートフォーマット」をONに変更
これでパイプ(|)を入力すると自動で改行してくれます。
[2] 誰かが作成したSPLを読む時
1行にずらーーーーっと書かれたSPLを綺麗に整形してくれると嬉しい。これも出来ます。
- Splunk Webにログイン
- 「Apps」から「Search & Reporting」をクリック
- 1行にずらーーーーっと書かれたSPLをサーチ欄に未整形のままコピペ
- Command(⌘)+shift(⇧)+F を同時に押す(Macの場合)
これでパイプ(|)やサブサーチに合わせて整形してくれます。
どう変わるのか
画面上のようなサーチではなく、画面下のようなサーチになる。
終わりに
見やすいのが良いよね。整形するためのショートカットは他にも色々あって便利なものがありそう。