Splunk - Compartir y exportar

Cuando ejecuta una consulta de búsqueda, el resultado se almacena como un trabajo en el servidor de Splunk. Si bien este trabajo fue creado por un usuario específico, se puede compartir con otros usuarios para que puedan comenzar a utilizar este conjunto de resultados sin la necesidad de volver a generar la consulta. Los resultados también se pueden exportar y guardar como archivos que se pueden compartir con usuarios que no utilizan Splunk.

Compartir el resultado de la búsqueda

Una vez que una consulta se ha ejecutado correctamente, podemos ver una pequeña flecha hacia arriba en el centro a la derecha de la página web. Al hacer clic en este icono se obtiene una URL donde se puede acceder a la consulta y al resultado. Es necesario otorgar permiso a los usuarios que utilizarán este enlace. El permiso se otorga a través de la interfaz de administración de Splunk.

Encontrar los resultados guardados

Los trabajos que se guardan para que los usen todos los usuarios con los permisos adecuados se pueden ubicar buscando el enlace de trabajos en el menú de actividades en la barra superior derecha de la interfaz de Splunk. En la imagen de abajo, hacemos clic en el enlace resaltado llamado trabajos para encontrar los trabajos guardados.

Después de hacer clic en el enlace anterior, obtenemos la lista de todos los trabajos guardados como se muestra a continuación. Él, tenemos que tener en cuenta que hay una publicación de fecha de caducidad donde el trabajo guardado se eliminará automáticamente de Splunk. Puede ajustar esta fecha seleccionando el trabajo y haciendo clic en Editar seleccionado y luego eligiendo Extender vencimiento.

Exportar el resultado de la búsqueda

También podemos exportar los resultados de una búsqueda a un archivo. Los tres formatos diferentes disponibles para exportar son: CSV, XML y JSON. Al hacer clic en el botón Exportar después de elegir los formatos, se descarga el archivo desde el navegador local al sistema local. Esto se explica en la siguiente imagen: