Splunk - 共享导出

当您运行搜索查询时,结果将作为作业存储在 Splunk 服务器中。虽然此作业是由一个特定用户创建的,但可以与其他用户共享,以便他们可以开始使用此结果集,而无需再次为其构建查询。结果还可以导出并保存为文件,可以与不使用 Splunk 的用户共享。

共享搜索结果

查询成功运行后,我们可以在网页中间右侧看到一个小的向上箭头。单击此图标会提供一个 URL,可从该 URL 访问查询和结果。需要向将使用此链接的用户授予权限。权限是通过 Splunk 管理界面授予的。

Share Export1

查找已保存的结果

可以通过查找 Splunk 界面右上栏中活动菜单下的作业链接来找到已保存以供所有具有适当权限的用户使用的作业。在下图中,我们单击名为作业的突出显示链接以查找已保存的作业。

Share Export3

单击上述链接后,我们将获得所有已保存作业的列表,如下所示。我们必须注意,有一个到期日期,保存的作业将自动从 Splunk 中删除。您可以通过选择作业并单击"编辑所选",然后选择"延长到期时间"来调整此日期。

Share Export4

导出搜索结果

我们还可以将搜索结果导出到文件中。可供导出的三种不同格式是:CSV、XML 和 JSON。选择格式后单击"导出"按钮,文件将从本地浏览器下载到本地系统。下图对此进行了说明 −

Share Export2