Splunk 共享和导出

有多种方法可以根据我们的需求以各种格式共享和导出文件。我们甚至可以设置作业的到期时间并延长它。在本节中，我们将导出我们在数据中进行的搜索的文件和报告。此外，我们还将查看和比较作业、排序作业、创建作业以及延长作业的到期时间。

共享作业和导出结果

我们可以与其它 Splunk 用户共享作业，或导出以存档事件数据，或将其与第三方图表程序一起使用。

与他人共享作业。

共享作业时，我们共享特定搜索运行的结果。

我们可以通过多种方式与其它 Splunk 用户共享特定作业。要与其它用户共享我们的工作，我们可以更改搜索作业的权限。我们还可以通过将 URL 发送给 Splunk 用户来共享搜索作业。

我们可以仅修改权限，或共享对我们当前工作的连接。

更改作业权限

通过更改权限，我们可以共享一个作业。默认情况下，所有作业都是私有的。

1. 在“作业”菜单中，选择“编辑作业设置”以显示“作业设置”对话框。
2. 将“读取权限”更改为“所有人”。
3. 点击“保存”

共享作业 URL

通过提供对工作的连接，我们可以与其他 Splunk 用户共享作业。如果您希望另一个人查看工作产生的搜索结果，这会很有用。

我们发送连接的用户必须具有使用该作业所属设备的权限。

决定使用哪种方法来获取作业的连接。我们可以使用“共享”图标或“工作”菜单。

使用“共享”图标

1. 点击此 。此图标是搜索操作图标之一。
2. 复制 URL，然后将链接发送给您想在“链接到作业”文本框中共享作业结果的人。

作业的权限会自动更改为所有人，并且工作寿命会自动延长到7 天。

使用“作业”菜单

1. 在“作业”菜单中，选择“编辑作业设置”以显示“作业设置”对话框。
2. 现在，在给定的选项中将读取权限更改为所有人。如果作业的权限设置为私有，则其他用户无法通过链接访问该作业。
3. 将寿命更改为7 天。
4. 现在，复制链接并将其发送给您希望与之共享作业结果的用户。

我们还可以使用“书签”图标来保存连接以供我们使用。“书签”图标将同时出现在“作业设置”对话框和“就业共享”对话框中。我们可以点击并拖动“书签”图标到我们 Web 浏览器的书签栏。

管理搜索作业

我们可以使用“作业”页面来查看和管理我们拥有的任何作业。

如果我们拥有管理员角色或具有同等功能集角色的用户，我们可以管理我们 Splunk 实现的所有用户运行的搜索作业。

打开“作业”页面

• 要查看我们的作业列表，请点击“活动”，然后点击“作业”选项。这将打开“作业”页面。

它显示了不同类型的作业列表。

• 结果作业来自我们最近手动运行的临时搜索或透视。
• 加载仪表板或打开报告时会运行搜索的作业。
• 已安排搜索的作业。

刷新作业列表

“作业”选项卡中的工作列表不会自动刷新。

• 在我们想象“作业”页面后创建的作业，在重新加载“作业”页面之前将不可用。
• 如果一个作业在“作业”页面打开时过期，则该作业将出现在“作业”页面列表中，但我们无法看到作业详细信息。

重新加载选项卡以刷新“工作”选项卡。

作业操作

“操作”列可用于对作业执行操作。

使用“工作”下拉菜单更改作业设置、延长我们的就业寿命、审核作业或删除就业。

使用操作图标暂停、停止交换和导出作业。

选择作业并按“编辑选定”对多个作业执行这些操作。然后选择我们希望执行的操作。

查看和比较作业

我们将看到最近调度或保存以供以后分析的作业列表。我们使用该列表来比较作业统计信息，包括运行时间、匹配事件总数、大小等。

活动作业数

列表中作业总数显示在“作业”选项卡的右上角。

该计数代表我们打开“作业”列表的作业数量。如果一个作业在“作业”页面打开时过期，它不会刷新工作计数。

对作业列表进行排序

默认情况下，在 Splunk 中，作业列表按“已创建”的列进行排序。

我们可以按任何列标题对列表进行排序，该列标题将显示一个排序按钮。例如，我们可以按作业到期时间或工作所有者对列表进行排序。

• 要按升序排序列表，请单击一次列标题。要按降序排序列表，请再次单击。

筛选作业列表

我们可以按应用程序、所有者和状态筛选作业列表。

• 在“筛选器”框中，键入一个出现在搜索条件中的术语或表达式以筛选列表。

例如，我们可以在“筛选器”框中指定磁盘使用情况、EMBED AND diskUsage=8* 或 label=EMBED AND diskUsage=8*。

查看作业搜索结果

我们可以在“作业”页面上显示搜索结果。

1. 要显示与特定作业相关的结果，请点击搜索按钮。

O 对于临时搜索，搜索条件是相关的。

O 对于已保存的搜索，报告名称、仪表板面板或透视面板中的链接。

结果将在搜索应用程序的视图中打开。

检查正在进行的作业的进度。

我们可以检查由计划搜索、实时搜索和长时间运行的历史搜索调度的作业。

使用“状态”列来测试正在进行的“工作”的进度。“状态”列显示了已记录事件的数量。当前工作人员具有“正在工作”状态。在后台工作的作业具有“后台运行”状态。

更改每页作业数

我们可以更改每页显示的作业数量。默认是每页显示 10 个作业。我们可以在窗口右侧查看每页 10、20 或 50 个作业。

检查作业

我们可以检查一个作业，以更仔细地了解搜索的内容，看看 Splunk 应用程序花费了多少处理时间。

使用“搜索工作检查器”显示当前作业详细信息，例如执行作业的成本和搜索作业资产。

1. 对于特定的“工作”，在“操作”选项卡中点击“工作”。
2. 选择“作业检查”。

有关使用“搜索作业检查器”的更多信息，请参阅“查看搜索作业属性”。

延长搜索作业的寿命

有多种方法可以从“职业”选项卡更改职业的生命周期。请参阅“延长工作时间”以了解不同类型工作人员的生命周期。

快速延长作业寿命。

我们可以快速延长作业的寿命。

1. 在特定作业的“操作”列中，选择“作业”。
2. 选择“延长作业到期”。

延长多个作业的寿命

我们可以同时延长多个作业的寿命。

1. 选择我们希望延长其寿命的作业。
2. 在作业列表上方，点击“编辑选定”。
3. 选择“延长到期”。

将作业结果导出到文件。

我们可以将作业结果导出为多种格式，包括 CSV、JSON、PDF、原始事件和 XML。然后，我们可以存储文件，或将其与第三方图表程序一起使用。格式选项取决于我们正在处理的作业工件的类型。

• 如果搜索生成了显示在“统计信息”选项卡上的计算数据，则我们无法使用“原始事件”格式导出搜索。
• 如果 Splunk 中的搜索是一个已保存的搜索，例如报告，我们可以将其导出为 PDF 格式。

将导出的文件将保存在您的浏览器或操作系统默认的下载目录中。

有几种分发搜索结果的方法。其中一些包括 Splunk 网络、CLI、SDK 和 REST 方法。许多方法适用于批量处理，而其他方法则非常适合处理大量事件。

请参阅“导出搜索结果”以获取完整的导出方法列表以及指向具体步骤的链接。