はじめに
Splunk Cloudでとあるリソースの一覧を抽出したいとなった際に、数が多いとUIからではページネーションで一気に表示できません。
サーチでrestコマンドを使用すればリソースの一覧をエクスポートすることが可能です。
restコマンドとは
SplunkのREST APIエンドポイントにクエリを実行するための検索コマンドです。
サーチ例
View(ダッシュボード)一覧
| rest splunk_server=local /services/data/ui/views
| search NOT eai:acl.owner IN (nobody admin)
Savedsearch 一覧
| rest splunk_server=local /services/saved/searches
| search NOT eai:acl.owner IN (nobody admin)
プライベートなリソースも含める
上記のサーチ例ではプライベートなリソースは含まれません。もしプライベートも含めたい場合は以下のようになります。
View(ダッシュボード)の例
| rest splunk_server=local /servicesNS/-/-/data/ui/views
| search NOT eai:acl.owner IN (nobody admin)
サーチ結果のフィールド選択
上記のサーチ例ではフィールドの情報が多いため必要なものだけを抽出します。
以下ではダッシュボード名と所有者、Appを抽出しています。
| rest splunk_server=local /servicesNS/-/-/data/ui/views
| search NOT eai:acl.owner IN (nobody admin)
| fields title eai:acl.owner eai:acl.app
リソースの一覧をCSVで出力
サーチを実行して結果が出たらあとはエクスポートするだけです。これでリソースの一覧を抽出することができます。
