[ Splunk Search : 사용 사례 ] 생성한 saved search 정보 검색하기

 

 

 

프로젝트 이후에 작성해야 하는 산출물 중에 "시나리오 정의서" 라는 것이 있다.

시나리오를 어떻게 작성했는지에 대해 기술하는 것인데

생성한 시나리오가 한 두 개도 아니고 UI에서 하나 하나 확인하면 화딱지 나니

검색식으로 리스트를 뽑은 후에 간단하게 복붙으로 해결하고 싶을 때 이 방법을 사용한다.

 

 

시나리오 정의서는

• 시나리오 번호
• 시나리오 제목
• 시나리오 상세
• 검색식
• 설정된 스케쥴

이렇게 다섯가지를 기본으로 작성한다.

 

사용한 쿼리

| rest /servicesNS/-/search/saved/searches splunk_server=local | rename eai:acl.* as *, action.summary_index.* as * | where app="search"  | table title, description, search, cron_schedule, dispatch.earliest_time, dispatch.latest_time, disabled | rex field=title "(?<s_num>[^T]+)\s+" | table s_num, title, description, search, cron_schedule, dispatch.earliest_time, dispatch.latest_time, disabled

 

 

 

일단 이런 보고서를 만들었다고 가정하자!

 

 

그 후에 아래의 쿼리로 검색을 하면

| rest /servicesNS/-/search/saved/searches splunk_server=local 빨간색 search 대신에 앱이름을 넣어주면 원하는 앱 아래서 볼 수 있는 저장된 검색 리스트를 모두 볼 수 있다.

 

좋지 못한 이름의 컬럼들이 나오는데 한 눈에 파악하기 쉽게 rename 해준다

 

| rest /servicesNS/-/search/saved/searches splunk_server=local | rename eai:acl.* as *, action.summary_index.* as * | where app=search

여기서의 app=search는 검색이 생성된 앱을 말하는 것이다.

 

 

이제 rex로 시나리오 번호만 추출해주면 끝이다!

 

| rest /servicesNS/-/search/saved/searches splunk_server=local | rename eai:acl.* as *, action.summary_index.* as * | where app="search"  | table title, description, search, cron_schedule, dispatch.earliest_time, dispatch.latest_time, disabled | rex field=title "(?<s_num>[^T]+)\s+" | table s_num, title, description, search, cron_schedule, dispatch.earliest_time, dispatch.latest_time, disabled

 

상황에 따라 커스터마이징해서 잘 쓰면 끝!!