Splunk Enterprise 6.2.0 レポートマニュアル

Splunk Enterprise 6.2.0
レポートマニュアル
作成:2014 年 11 ⽉ 21 ⽇ 午後 4 時 13 分
Copyright (c) 2015 Splunk Inc. All Rights Reserved
Table of Contents
レポートの概要
レポートについて
レポートの管理
レポートの作成と編集
レポートの⾼速化
レポートのスケジュール
スケジュール済みレポートの埋め込み
スケジュール済みレポートの優先度の設定:
レポートとダッシュボードの PDF の⽣成
3
3
3
3
9
11
17
19
21
レポートの概要
レポートについて
Splunk では、将来再利⽤する⽬的でサーチまたはピボットを保存する時にレポートが作成されます。作成された
レポートを使って、さまざまな作業を⾏うことができます。
レポートは⼿軽に作成できるため、レポートに関するあらゆる機能を取り上げたマニュアルが新たに作成されまし
た。このマニュアルでは、以下の事項について説明していきます。
レポートの⼿動作成と編集:サーチまたはピボットからレポートを作成し、[レポート] ページに表⽰しま
す。レポートを⼿動で設定するには、savedsearches.conf を使⽤します。ダッシュボードパネルをレポートに
変換することができます。権限を変更すれば、他のユーザーとレポートを共有することができます。
処理完了までに時間がかかるレポートの⾼速化:レポートの作成時、またはレポートの作成後に⾏えます。
スケジュール済みレポートの設定:定期的に実⾏され実⾏時にアラートアクション (サーチ結果のメール送
信など) を⽣成するレポート。スケジュール済みレポートは、サマリーインデックス にも⽤いられます。
スケジュール済みレポートの優先度の設定:レポートスケジューラーが複数の同時レポートを管理する⽅
法、およびレポートスケジューラーのオプションの設定⽅法を学習します。
レポート、ダッシュボード、サーチ、およびピボットの PDF の⽣成⽅法:PDF の⾮ラテンフォント使⽤を
有効にします。.conf ファイルを使って PDF ⽣成を設定します。この機能の例外を確認します。
レポートの管理
レポートの作成と編集
将来的に再利⽤する、または他のユーザーと共有するサーチやピボットを作成する場合、それをレポートとして保
存できます。つまり、Splunk のサーチとピボットの両⽅からレポートを作成することができます。
レポートを作成したら、以下の作業を⾏えます。
任意の時点でレポートを実⾏ して、返された結果を表⽰する。レポートの結果を表⽰するには、レポート
⼀覧ページでレポートの名前をクリックします。
レポートを開いて編集する ことで、異なるデータを返す、または異なる⽅法で表⽰する。レポートはその
作成⽅法に応じて、[ピボット] または [サーチ] で開かれます。
ここでは、レポートの作成、編集⽅法を説明していきます。
また、適切な権限がある場合は、以下の作業も⾏えます。
レポートの権限を変更 して、それを他の Splunk Enterprise ユーザーと共有する。
レポートを定期的に実⾏するようにスケジュールする。 スケジュール済みレポートでは、実⾏時に結果
を関係者に送信するなどのアクションを実⾏するように設定することができます。
処理の完了に時間がかかるレポートのサーチを⾼速化する 。
ダッシュボードにレポートをパネルとして追加する 。
レポートのスケジュールの詳細は、このマニュアルの「レポートのスケジュール」を参照してください。
レポートの⾼速化の詳細は、このマニュアルの「レポートの⾼速化」を参照してください。
レポートをダッシュボードにパネルとして追加する⽅法については、『視覚化マニュアル』の「ダッシュボードへ
のサーチ、レポート、またはピボットの追加」を参照してください。
レポート権限の管理については、『ナレッジ管理』マニュアルの「ナレッジオブジェクト権限の管理」を参照して
ください。
注意: ピボットで作成したレポートの権限は、その作成に使⽤したデータモデルの権限と⼀致している必要があ
ります。詳細は、後述する「サーチまたはレポートのピボットとしての保存」を参照してください。
レポートの⼿動作成
Splunk Web から 4 種類の⽅法でレポートを作成することができます。
[サーチ] から、サーチをレポートとして保存する。
[ピボット] から、ピボットをレポートとして保存する。
[設定] > [サーチとレポート] に移動した後 [新規] をクリックして、新しいレポートを追加する。
ダッシュボードから、ダッシュボードパネルのインラインサーチをレポートに変換する。
これらのレポート作成⽅法については、後述するサブセクションを参照してください。
レポート定義には、最低でもサーチ⽂字列とサーチに関連する時間範囲 (相対時間修飾⼦で指定) を含めます。ま
た、レポート⼀覧ページや [設定] の [サーチとレポート] ページで識別できるように、レポート名を指定する必要
があります。
サーチやピボットのレポートとしての保存
有益な結果を返すサーチやレポートを設計する場合、それをレポートとして保存することができます。サーチを実
⾏またはピボットを作成したら、[名前を付けて保存] をクリックして、[レポート] を選択し、[レポートとして
保存] ダイアログを表⽰します。レポートには、グラフの視覚エフェクトやイベントリスト表⽰オプションも含
3
め、元のサーチで設定した任意の書式設定が保持されます。
注意: サーチの実⾏中、⼀時停⽌中、または完了時には、それをレポートとしてのみ保存できます。
ここでは、レポートの⼀意のタイトル、および必要に応じて説明を指定します。また、レポートにタイムレンジ
ピッカーを含めるかどうかを指定することもできます。タイムレンジピッカーを含めることで、レポートに対する
書き込み権限を持たないユーザーでも、レポートを編集することなく違う時間範囲でレポートを再実⾏することが
できます。
タイムレンジピッカーを含めない場合、レポートは常に同じ時間範囲で実⾏されます。他のユーザーに別の時間範
囲でレポートを実⾏させるには、レポートの編集権限を持つユーザーがレポートを編集して時間範囲を変更し、変
更内容を保存する必要があります。
[保存] をクリックすると [レポートが作成されました] ダイアログボックスが表⽰されます。ここでは、以下の
ような作業を⾏えます。
レポートを表⽰ (実⾏) して、返された結果を確認する
レポートの編集を継続する
レポートをダッシュボードに追加する
レポートの権限を編集する
スケジュールに従ってレポートを実⾏するための設定
レポートの⾼速化
これらの作業を⾏わずにサーチを続⾏する場合は、単純にこのダイアログボックスを閉じることも可能です。右上
の [x] をクリックしてください。
注意:ピボットで作成したレポートの権限は、その作成に使⽤したデータモデルの権限と⼀致している必要
があります。 たとえば、ある Splunk Enterprise インスタンスに 2 つの App 、[サーチ] と [セキュリティ] があ
る場合を考えてみましょう。 セキュリティ App のコンテキスト内で、データモデル「External Threats」を使っ
てピボットベースのレポート「Top Firewall Attacks by IP」を作成しました。「External Threats」データモデ
ルの権限は、セキュリティ App のみを対象にしています。
レポートの作成当初、レポートの権限は作成したユーザーのみが表⽰、更新できるようになっています。この イ
ンスタンスを使⽤するすべてのユーザーが、「Top Firewall Attacks by IP」を参照できるようにしたい (App コ
ンテキストに関係なく) と考えて、レポートの権限を「グローバル」に変更しました。これで、App コンテキスト
をサーチ App に切り替えた場合も、サーチ App から「Top Firewall Attacks by IP」レポートを利⽤できるよう
になるのでしょうか?
残念ながらそうすることはできません。レポートの構築には「External Threats」データモデルが必要ですが、こ
のデータモデルの権限はセキュリティ App に限定されているためです。サーチ App から「Top Firewall Threats
by IP」レポートを実⾏するには、「External Threats」データモデルをグローバルに共有する必要があります。
[設定] での新しいレポートの作成
レポートを作成する場合、⼀般的にもっとも簡単な⽅法は、前述のようにサーチまたはピボットを実⾏してから、
それをレポートとして保存することです。この⽅法を利⽤すれば、保存前にサーチをテストすることができます。
ただし、Splunk Web の [設定] で、新しいレポートを⼿動で作成することもできます。このためには、[設定] >
[サーチとレポート] に移動した後 [新規] をクリックして、新しいレポートを定義、追加します。[設定] でレポー
トを定義する場合、それを保存済みサーチとして設定します。ただし、このサーチはレポート⼀覧ページにレポー
トとして表⽰されます (アラートとして設定した場合はアラート⼀覧ページ)。
最低でもサーチの [宛先 App] (デフォルトでは、現在の App コンテキストが使⽤されます)、[サーチ名] 、およ
び実際のサーチ⽂字列 ([サーチ] フィールドに) を指定する必要があります。また、全時間に対してサーチを実⾏
する場合を除き、サーチの開始時刻 と終了時刻 (完了時刻) も指定する必要があります (全時間の場合は指定を省
略できます)。開始時刻と終了時刻を表現するには、相対時間修飾⼦ を使⽤します。
4
略できます)。開始時刻と終了時刻を表現するには、相対時間修飾⼦ を使⽤します。
必要に応じて、サーチの内容や使⽤⽅法を説明するテキストを⼊⼒することもできます。
[アクセラレーション] コントロールを利⽤して、完了までに時間がかかるサーチの、将来の実⾏時間を⼤幅に短縮
することができます。サーチのレポート⾼速化を設定するには、[このサーチを⾼速化] を選択して、次に適切な
[サマリー範囲] を選択します。適切な権限がある場合にのみ、[このサーチを⾼速化] を選択することができま
す。
また、レポート⾼速化が効果を発揮するのは、特定の種類のサーチのみです。サーチ⽂字列がレポート⾼速化に適
していない場合は、保存時にサーチを⾼速化できない旨のエラーメッセージが表⽰されます。レポートの⾼速化の
詳細は、このマニュアルの「レポートの⾼速化」を参照してください。レポート⾼速化に適したサーチの例につい
ては、『ナレッジ管理』マニュアルの「レポート⾼速化の管理」を参照してください。
適切な権限がある場合は、必要に応じて [このサーチをスケジュール] を選択することができます。このオプ
ションを選択すると、サーチのスケジュール済みレポートとしての設定、サーチに基づいたアラート⽣成条件の定
義、アラートアクション (アラート⽣成時の動作) の設定などを⾏うための各種フィールドが表⽰されます。これ
らの機能を使ってサーチを、アラートやスケジュール済みレポートにすることができます。
アラートの作成⽅法の詳細は、『アラートマニュアル』の「アラートについて」を参照してください。このトピッ
クには、Splunk 管理のサーチとレポートの詳細ページでのみ利⽤できる、アラート管理のアラートレコードの有
効期限や「RSS フィードに追加」アラート条件などの、アラートオプションに関する情報も記載されています。
スケジュール済みレポート (スケジュールに従って実⾏され、実⾏時に毎回メールまたすスクリプトでサーチ結果
を通知するレポート) の定義の詳細は、このマニュアルの「レポートのスケジュール」を参照してください。
Splunk 管理にあるサーチとレポートの詳細ページは、Splunk Web 内で保存済みサーチのサマリーインデック
ス を有効にできる唯⼀の場所でもあります (savedsearches.conf を編集してサーチのサマリーインデックスを設定す
ることもできます)。サマリーインデックスの詳細は、『ナレッジ管理』の「サーチのサマリーインデックスを有
効にする」を参照してください。
サーチに対する書き込み権限がある場合は、[サーチとレポート] ページに記載されているサーチを編集、更新する
ことができます。権限の詳細については、『ナレッジ管理』マニュアルの「ナレッジオブジェクト権限の管理」を
参照してください。
savedsearches.conf でのレポートの設定
Splunk Web または [設定] でレポートを保存すると、そのレポートのスタンザが savedsearches.conf に⾃動的に追
加されます。UI は変更内容を検証します。また、UI でレポートを作成した場合、システムを再起動する必要はあ
りません。設定ファイルに直接レポートを設定することも可能です。
でのレポートとアラートの設定⽅法については、savedsearches.conf 設定ファイルおよび『ア
ラートマニュアル』の「savedsearches.conf でのアラートの設定」を参照してください。
savedsearches.conf
ダッシュボードパネルのレポートへの変換
5
インラインサーチを使⽤するダッシュボードパネルをレポートに変換することができます。レポートベースのパネ
ルは、インラインサーチベースのパネルと⽐べて、レポート⾼速化を利⽤してロード時間を短縮できる利点があり
ます。
新しいサーチまたはピボットをダッシュボードパネルとして保存する場合、Splunk Enterprise はインラインサー
チを使⽤したダッシュボードパネルを作成します。これは、ダッシュボードを駆動しているサーチがダッシュボー
ド内 (インライン) で処理され、レポートや他の外部オブジェクトには接続されていないことを意味しています。
この利点としては、ダッシュボードを終了せずに、ダッシュボードで利⽤されているサーチを編集したり、視覚エ
フェクトタイプを変更したりできることが挙げられます。
[サーチ] または [ピボット]で既存のレポートを開き (後述の「レポートの編集」を参照)、た場合、そのサーチまた
はピボットをダッシュボードパネルとして保存する場合は、パネルをインラインサーチベースにするか、またはレ
ポートベースにするかを選択することができます。パネルをレポートベースのパネルとして保存した場合、そのパ
ネルはレポートの書式設定だけでなく、⾼速化、スケジュール、および権限の設定も引き継ぐことができます。
注意: レポートをベースにしたダッシュボードパネルは、そのレポートとは異なる書式設定を保有することがで
きます。詳細は、後述する「ダッシュボードパネルが関連レポートの書式設定を引き継ぐには」を参照してくださ
い。
インラインサーチを使⽤するダッシュボードパネルを編集する場合、それをレポートに変換することができます。
そうすると、ダッシュボードをベースにした新しいレポートが作成されます。このレポートは、レポート⼀覧ペー
ジ (または [設定] の [サーチとレポート] ページ) から表⽰、編集することができます。ダッシュボードパネルはそ
のまま残りますが、ダッシュボード内でパネルが使⽤しているサーチを編集することはできなくなります。その代
わりに、パネルが使⽤しているレポートの⾼速化、スケジュール、および権限設定を定義することができます。
注意: ピボット由来のダッシュボードパネルの場合、それをレポートに変換すると、ダッシュボードからパネル
の視覚エフェクトタイプを変更することもできなくなります。
ダッシュボードパネルをレポートに変換するには
1. ⽬的のダッシュボードの [編集] をクリックします。ダッシュボード内の各パネルの右上に、アイコンが表⽰さ
れます。
2. サーチまたはピボットベースのパネルの [パネルのプロパティ] アイコンをクリックして、[レポートに変換] を
選択します。[パネルのプロパティ] アイコンは、前のステップで説明した 3 つのパネル編集アイコンの、⼀番左
側にあるアイコンです。アイコンは、パネルのドキュメントタイプを表しています。⾍眼鏡はサーチベースのパネ
ル、ピボット⽮印はピボットベースのパネル、書類の束はサーチまたはピボットベースのレポートパネルです。
3. [レポートに変換] ダイアログが表⽰されます。ここでは、レポートの [タイトル] と [説明] を元のパネルのタ
イトルや説明と違うものに変更することができます。
4. 作業が完了したら、[保存] をクリックします。レポート⼀覧ページにレポートが表⽰されます。
ダッシュボードパネルで関連レポートの書式設定を引き継ぐには
ダッシュボードパネルをレポートに変換して、その後別の視覚エフェクトを使⽤または別の視覚エフェクト書式設
定を使⽤するようにレポートを編集した場合、変更内容が対応するパネルに⾃動的に反映されることはありませ
ん。更新したレポート設定をダッシュボードパネルに反映するには、以下の⼿順に従ってください。
1. 更新するパネルがあるダッシュボードの [編集] をクリックします。
2. 更新するパネルの [パネルのプロパティ] アイコンをクリックします。表⽰されるドロップダウン リストから、
パネル/レポートの名前を選択します (すでにレポートに変換されているパネルの名前のみが表⽰されます)。画⾯
にレポートが表⽰されます。適切な権限がある場合、ここからレポートの各種設定 (権限、⾼速化、スケジュール
6
など) を変更することができます。
3. [このコンテンツにレポートのフォーマットを使⽤] をクリックして、パネルでレポートの書式設定を使⽤す
ることを確認します。パネルが、レポートに定義されている視覚エフェクトタイプと書式設定を使⽤するようにな
ります。たとえば、パネルに円グラフが表⽰されているけれども、パネルに対応するレポートではデータを縦棒グ
ラフで表⽰するように編集された場合、[このコンテンツにレポートのフォーマットを使⽤] をクリックすると
パネルでもレポートと同様に、縦棒グラフでデータが表⽰されるようになります。
注意: 同様の⽅法で、まったく別のレポートのデータと書式設定をパネルで使⽤することもできます。上記の⼿
順で、[このコンテンツにレポートのフォーマットを使⽤] の代わりに [新しいレポートの選択] をクリックし
てください。[新しいレポートを選択] ダイアログが表⽰されます。別のレポートを選択した後、[保存] をクリッ
クします。パネルが更新され、選択したレポートの視覚エフェクトを使ってデータが表⽰されます。
選択、編集できるレポートは、⾃分が保有する権限によって決まることに注意してください。
レポートの他のユーザーとの共有
デフォルトでは、保存したレポートはプライベートで⾃分のみが利⽤できます。適切な権限がある場合は、レポー
トの初回保存時に [レポートが作成されました] ダイアログで [権限] をクリックして、レポートの権限を変更する
ことができます。[権限の編集] ダイアログが表⽰されます。
7
ここでは、保有する権限に応じて、1 つの App のユーザー、またはすべての App のすべてのユーザーにレポー
トを参照させるように設定することができます。さらに、ロールで読み取り権限や書き込み権限を設定することも
できます。
たとえば、Splunk Enterprise 環境内のすべてのユーザーにレポートを「グローバル」に利⽤させることができま
す。また、現在の App 内の特定のロールを持つユーザーにのみ、保存済みサーチを利⽤させることも可能です。
特定のロールまたはユーザーに、レポートへの書き込みアクセス権を与えて、サーチ/ピボットの編集や結果の表
⽰書式の更新作業を⾏わせることも可能です。
以下の⼿段でレポートの権限を定義、更新することもできます。
レポート⼀覧ページで、[編集] をクリックして、[権限] を選択します。
レポート表⽰ページに移動して (レポート⼀覧ページでレポート名をクリックする)、[編集] をクリックし
て、[権限の編集] を選択します。(レポート表⽰ページに移動するには、レポート⼀覧ページでレポート名を
クリックします。)
[設定] > [サーチとレポート] に移動して、⽬的のレポートの [権限] をクリックします。
注意: ピボットベースのレポートを共有している場合は、そのレポートが参照するデータモデルも共有する必要
があります。プライベートなデータモデルを参照するピボットベースのレポートを共有すると、エラーメッセージ
が表⽰されます。データモデル共有の詳細は、『ナレッジ管理マニュアル』の「データモデルの管理」を参照して
ください。
レポートの編集
既存のレポートを⼿軽に編集することができます。レポートの定義内容 (サーチ⽂字列、ピボット設定、結果の書
式設定) を編集することができます。また、説明、権限、スケジュール、および⾼速化設定を編集することもでき
ます。
レポートの定義を編集するには
レポートの定義を編集する場合、レポート⼀覧ページを表⽰しているのか、またはレポート⾃体を表⽰しているの
かによって、2 種類の開始⽅法があります。
レポート⼀覧ページを表⽰している場合 は、⽬的のレポートを探してその [アクション] 列から、[サー
チで開く] または [ピボットで開く] (レポートの作成に使⽤したツールに応じてどちらかが表⽰される) をク
リックします。
レポートの結果を表⽰している場合 は、[編集] をクリックして、[サーチで開く] または [ピボットで開く]
(レポートの作成に使⽤したツールに応じてどちらかが表⽰される) を選択します。
[サーチ] で開いたレポート定義の編集
[サーチ] でレポートを開いたら、サーチ⽂字列、時間範囲、またはレポートの書式設定を変更することができま
す。レポートを再実⾏した後、レポートの右上にある [保存] ボタンが有効になります。これをクリックすると、
レポートが保存されます。編集したサーチを新しいレポートとして保存することもできます。
[ピボット] で開いたレポート定義の編集
レポートを [ピボット] で開いた後、ピボットの定義を必要に応じて変更します。フィルタ、⾏分割、列分割、ま
たは列値を追加、削除、再定義することができます。また、ピボット結果の書式設定を変更することもできます
(視覚エフェクトタイプの変更、またはグラフの表⽰⽅法の修正)。作業が完了したら、ページの右上にある [保存]
をクリックして、レポートを保存してください。編集したピボットを新しいレポートとして保存することもできま
8
す。
レポートの説明、権限、スケジュール、および⾼速化設定を編集するには
この作業はレポート⼀覧ページまたはレポートの結果表⽰ページから⾏えます。[編集] をクリックして、以下の
項⽬を選択してください。
[説明の編集]:レポートの名前と説明を変更します。
[権限の編集]:レポートの権限を変更します。レポート権限の詳細は、「他のユーザーとのレポートの共
有」を参照してください。
[スケジュールの編集]:レポートのスケジュールまたはすでにスケジュールされている場合に、内容を変更
します。詳細は、このマニュアルの「レポートのスケジュール」を参照してください。
[⾼速化の編集]:レポートの⾼速化⽅法を変更します。注意: このオプションは、[サーチ] で作成された特
定の種類のレポートでのみ利⽤できます。詳細は、このマニュアルの「レポートの⾼速化」を参照してくだ
さい。
注意: レポートを [サーチ] または [ピボット] で開いている場合、これらの操作を実⾏することはできません。こ
れらの編集作業を⾏うには、レポートを保存するか、またはレポート⼀覧ページに戻ってください。
レポートの複製
レポートを複製することにより、既存のレポートに基づいたレポートを素早く作成することができます。次にレ
ポートを編集して、異なる結果を返すレポートを作成することができます。レポートを複製するには、レポート⼀
覧ページまたはそのレポート⾃体で [編集] をクリックして、[複製] を選択します。
注意: レポートを [サーチ] または [ピボット] で開いている場合、この操作を実⾏することはできません。これら
の編集作業を⾏うには、レポートを保存するか、またはレポート⼀覧ページに戻ってください。
レポートの削除
レポート⼀覧ページまたはレポートの結果表⽰ページから、レポートを削除することができます。単純に [編集]
をクリックして、[削除] を選択します。⼤半のロールでは、⾃⼰が作成したレポートしか削除することはできませ
ん。⾃⼰が保有していないレポートの削除を許可する⽅法については、『ナレッジ管理』マニュアルの「ナレッジ
オブジェクトの無効化または削除」を参照してください。
注意: レポートを [サーチ] または [ピボット] で開いている場合、この操作を実⾏することはできません。これら
の編集作業を⾏うには、レポートを保存するか、またはレポート⼀覧ページに戻ってください。
Answers
何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、レポートに関する質問
と回答をご覧いただけます。
レポートの⾼速化
レポートに⼤量のイベントが存在しており、実⾏完了までに時間がかかる場合、今後そのレポートを再実⾏する際
により早く完了するようにレポートを⾼速化できる場合があります。
注意: 以下の場合はレポートを⾼速化できません。
ピボットで作成されている。ピボットレポートは、データモデル⾼速化により⾼速化します。詳細は、『ナ
レッジ管理マニュアル』の「データモデルの管理」を参照してください。
サーチを⾼速化する権限がない。ロール に適切な schedule_search および accelerate_search 権限 がない場
合、サーチを⾼速化できません。
保有しているロールに、レポートへの書き込み権限が許可されていない。
レポートがベースにしているサーチに、⾼速化の適性がない。詳細は、後述する「レポート⾼速化に適した
レポート」を参照してください。
ベースとなるサーチが詳細サーチモード を使⽤している。詳細モードでレポートを保存して、それを⾼速化
しようとすると、⾼速化は適⽤されますが、サーチモードは⾃動的にスマートまたは⾼速に変更されます。
同様に、すでに⾼速化されているレポートのサーチモードを詳細モードに変更することはできません。
Splunk Enterprise はどのようにしてレポートを⾼速化するのでしょうか?レポートを⾼速化する場合、バックグ
ラウンドプロセスが実⾏され、レポートが返す結果に基づくデータサマリーが構築されます。次回のサーチ実⾏時
には、インデックス全体ではなくこのサマリーに対してサーチが実⾏されます。このサマリーはインデックス全体
よりも⼩さく、サーチに関連して事前に算出されたサマリーデータが含まれているため、初回実⾏時よりも⼤幅に
短い時間でサーチが完了します。
[⾼速化の編集] ダイアログ
特定のレポートを⾼速化する権限があり、レポートに⾼速化の適性がある場合、レポートの作成時または作成後の
任意の時点に⾼速化することができます。
サーチをレポートとして保存した場合 、[レポートが作成されました] ダイアログが表⽰されます。ここで
は、3 種類の追加設定オプションを選択することができます。[⾼速化] をクリックして、[⾼速化の編集] ダ
イアログを表⽰します。
既存のレポートを⾼速化する場合 、レポート⼀覧ページまたはレポートの結果表⽰ページに移動します。
レポート⼀覧ページでレポートを⾼速化するには (または現在の⾼速化設定を変更するには):
レポートの⾏を展開して、⾼速化の [編集] をクリックします。
または、選択したレポートの [編集] をクリックして、[⾼速化の編集] を選択します。
レポート表⽰ページで (レポート⼀覧ページでレポート名をクリックすると表⽰される)、レポートを
9
⾼速化するには:
[編集] をクリックして、[⾼速化の編集] を選択します。
または、[詳細] をクリックして、⾼速化ステータスの隣にある [編集] をクリックします。
注意: ⾼速化の適性がないレポートを⾼速化しようとすると、レポートを⾼速化できないことを知らせるエラー
メッセージが表⽰されます。
[⾼速化の編集] ダイアログで、[レポートを⾼速化] を選択して [サマリー範囲] を表⽰します。
レポートを⾼速化する場合、[サマリー範囲] に「7 ⽇」、「3 ヶ⽉」、「全時間」などの値を選択する必要があ
ります。この範囲が、サマリー作成後の任意の時点でそのサマリーがカバーする概算期間になります。サマリーが
作成された後の、レポート実⾏時に⾼速化の恩恵を最⼤限に得るために、このサマリー範囲には適切な時間範囲を
指定する必要があります。詳細は、後述する「サマリー範囲の仕組み」を参照してください。
注意: ここで取り上げているデータサマリーは、従来のサマリーインデックス と似たような原理で動作します
が、それだけで内容は異なっています。レポート⾼速化⽬的で作成されるデータサマリーは、サマリーインデック
スではありません。レポートの⾼速化とサマリーインデックスの詳細、および両者の違いについては、『ナレッジ
管理』マニュアルの「レポート⾼速化とサマリーインデックスについて」を参照してください。
サマリー範囲の仕組み
サマリー範囲 は、レポートのデータサマリー対象とするおおよその時間範囲を設定しています。その後レポート
を実⾏した場合、サマリー範囲に該当する部分のみが⾼速化の恩恵を得られます。
たとえば、[サマリー範囲] に [7 ⽇] を指定すると、Splunk は常に最低過去 7 ⽇間を常にカバーするサマリーを
作成、管理します。時間の経過に伴い、過去 7 ⽇間よりも古くなったデータはサマリーから削除され、新しく到
着したデータのサマリーが追加されます。
サマリーが作成された後、過去 7 ⽇以内の時間範囲でそのレポートを実⾏した場合は、⽐較的速くサーチが完了
します。過去 10 ⽇間に対してレポートを実⾏すると、過去 7 ⽇間に対しては⾼速化の恩恵を受けられますが、
残り 3 ⽇間に対しては raw データに対してレポートが実⾏されるため、⾼速化されることはありません。
他のサマリー範囲 の設定でも同じことが⾔えます。過去 30 ⽇間の時間範囲でレポートを実⾏する予定がある場
合は、[1 ヶ⽉] を選択してください。過去 1 年間のサーチを実⾏する必要がある場合は、[1 年] を選択します。サ
マリー範囲が⼤きいほど、最初のサマリーデータの⽣成までに時間がかかり、より多くのストレージリソースを消
費することに注意してください。
注意: サーチ実⾏時の時間範囲の制約をなくし、⾼速化の恩恵を常に受けたい場合は、[全時間] を選択します。
サーチモードとレポート⾼速化:
レポート⾼速化は、サーチモード が [スマート] または [⾼速]に設定されているレポートに対してのみ効果を発揮
します。⾼速化を適⽤したレポートに [詳細] サーチモードを選択すると、⾼速化していない場合と同じ速度でし
かレポートは実⾏されません。サーチモード 設定の詳細は、『サーチマニュアル』の「サーチに合わせたサーチ
モードの設定」を参照してください。
レポート⾼速化に適したレポート
⾼速化の適性があるレポートは、基盤となるサーチのサーチ⽂字列に変換コマンド (chart、timechart、stats、top
など) を使⽤している必要があります。また、サーチ⽂字列内の最初の変換コマンドの前の任意のサーチコマンド
は、ストリーミングコマンド でなければなりません。(最初の変換コマンドの後には⾮ストリーミングコマンドを
指定できます。)
⾼速化に適したサーチと適さないサーチの例については、『ナレッジ管理』マニュアルの「レポート⾼速化の管
理」を参照してください。
レポート⾼速化サマリーの管理
この機能を管理するためのページが、[管理] > [レポート⾼速化サマリー] に⽤意されています。このページで
は、⾃分がアクセスできるレポートサマリーを確認することができます。適⽤されているレポートや作成の進捗状
況の表⽰、整合性の検証、損傷した場合の再構築、古いサマリーの削除、スペースを消費しているサマリーなど、
さまざまな情報を確認することができます。
注意: レポートを⾼速化できるロール を保有している場合にのみ (ロールに
10
schedule_search
権限 が必要)、[レポー
レポートを⾼速化できる
を保有している場合にのみ (ロールに
ト⾼速化サマリー] ページにアクセスすることができます。
schedule_search
が必要)、[レポー
環境内でサマリー数が増加するにつれて、ストレージやパフォーマンス上の問題が発⽣する可能性があることに注
意してください。サーチ⾼速化サマリーデータを保管するストレージスペースが必要で、またデータを最新の状態
に保つために Splunk Enterprise は 10 分間隔で新しいデータのサーチをバックグラウンドで実⾏する必要があ
るためです。[レポート⾼速化サマリー] ページでは、使⽤頻度とその消費スペースから、価値に値しないサマリー
を素早く認識することができます。
レポート⾼速化の詳細とその処理内容、ストレージとパフォーマンスの検討事項、その他のヒントについては、
『ナレッジ管理』マニュアルの「レポート⾼速化の管理」を参照してください。
レポートのスケジュール
スケジュール済みレポートは、スケジュールされている間隔で定期的に実⾏されるレポートで、実⾏時にアラー
ト を⽣成するように設定することができます。スケジュール済みレポートでは、[メール送信] と [スクリプトを実
⾏] の 2 種類のアクションを利⽤することができます。
レポートの結果は、指定したスケジュールで⼀連の受信者にメールで送信することができます。たとえば、毎⽇正
午に、または毎週⽉曜⽇の午後 0 時に結果を送信することができます。
また、[スクリプトを実⾏] アクションを使って、定期的に実⾏されるレポート結果を外部システムに投稿し、さら
なる処理を⾏ったり、アーカイブしたりすることができます。
[メール送信] および [スクリプトを実⾏] アラートアクションの詳細は、『アラートマニュアル』の「アラートア
クションの設定」を参照してください。
レポートスケジュールの制限事項
ご⾃分のロールに schedule_search 権限 が含まれている場合にのみスケジュール済みレポートを作成することがで
きます。ロールと権限の詳細は、『Splunk Enterprise のセキュリティ』マニュアルの「権限によるロールの定
義」を参照してください。
[サーチ] 内でレポートを作成または編集する場合、リアルタイムで実⾏されるレポートをスケジュールすることは
できません。履歴データの時間範囲に対して実⾏されるレポートのみをスケジュールできます。
警告: [設定] の [サーチ、レポート、ダッシュボード] ページでは、リアルタイムで実⾏されるレポートをス
ケジュールできます。ただし、そのようなことはしないようにしてください。リアルタイムのスケジュール
済みレポートの実⾏時間が⻑すぎると、巨⼤なディスパッチディレクトリが作成されてしまいます。それに
より、サーチヘッドに深刻なパフォーマンス上の問題が発⽣します。特にリアルタイム (全時間) スケジュー
ル済みレポートは、時間ウィンドウが定義されていないため、⼀致イベントを無制限に蓄積してしまいま
す。
また、savedsearches.conf でリアルタイムレポートをスケジュールすることもできます。ただし結果は、[設
定] > [サーチ、レポート、アラート] でスケジュールした場合と同じです。パフォーマンス上の問題を防
⽌するためにも、リアルタイムレポートのスケジュールは避けるようにしてください。
Splunk Web を使ったレポートのスケジュール
レポートは作成時に、または作成後の任意の時点にスケジュールすることができます。
サーチやピボットをレポートして保存する時に、新しいレポートのスケジュールを設定できます。サーチまたはピ
ボットをレポートとして保存する⽅法の詳細は、このマニュアルの「レポートの作成と編集」を参照してくださ
い。
以下の⽅法で、既存のレポートのスケジュールを設定することができます。
レポート⼀覧ページに移動して、⽬的のレポートを探し、以下のいずれかの作業を⾏います。
レポートの⾏を展開し、[スケジュール] ⾏の [編集] をクリックします。
[編集] をクリックして、[権限の編集] を選択します。
レポート表⽰ページに移動して (レポート⼀覧ページでレポート名をクリックする)、以下のいずれかの作業
を⾏います。
[編集] をクリックして、[権限の編集] を選択します。
[詳細] をクリックして、⾼速化ステータスの隣にある [編集] をクリックします。
[設定] > [サーチ、レポート、アラート] に移動して、⽬的のレポート名をクリックして詳細ページを表⽰
します。
レポートの作成時にスケジュールを設定、またはレポート⼀覧ページ経由でスケジュール設定を編集する場合、
[スケジュールの編集] ダイアログが表⽰されます。このダイアログを使った、新しいまたは既存のレポートのスケ
ジュール設定については、後述する「[スケジュールの編集] ダイアログを使ったレポートスケジュールの設定」を
参照してください。
[設定] の [サーチとレポート] ページから、既存のレポートのスケジュールを設定するには、後述する「[設定] で
のレポートのスケジュール 」を参照してください。
メール配信およびスクリプト実⾏のためのレポートのスケジュール
Splunk Enterprise には、スケジュール済みレポートに対する 2 種類のアクションが⽤意されています。レポー
ト実⾏時に、以下の作業を⾏わせることができます。
結果を⼀連の受信者にメールで送信する 。
これらのメールにレポートの結果をテキスト形式で記載、または CSV/PDF 形式の添付ファイルでレポート
を送信することができます。メール通知を送信する前に、[設定] でメール通知の設定を⾏う必要がありま
11
す。『アラートマニュアル』の「メール通知の設定」を参照してください。
レポート結果にアクセスするスクリプトを実⾏する 。
このマニュアルの「スクリプトの実⾏」を参照してください。スクリプトは、Splunk Enterprise インスタ
ンス内の以下の場所になければなりません。
$SPLUNK_HOME/bin/scripts
スケジュール済みレポートのアクションは、[レポート] ページまたは特定のレポートから⾏います。レポート配信
とスクリプトの実⾏を同じスケジュールで設定する⽅法を以下に⽰します。この⼿順は、特定のレポートから⾏っ
ています。ただし、[レポート] ページからでも⼿順は同じです。
1. [編集] > [スケジュールの編集] を選択します。
2. [レポートのスケジュール] をクリックします。
[スケジュールの編集] ダイアログが表⽰されます。
3. スケジュールを選択します。
時間範囲のデフォルトは、レポートの時間範囲になります。デフォルトに優先する設定を⾏う場合は、新た
に時間範囲を指定します。
[Cron スケジュールを実⾏] を選択した場合は、このマニュアルの「レポート配信の cron スケジュールの
指定」を参照してください。
4. [次へ] をクリックします。
5. [メール送信] を選択します。
[メールオプションの編集] ダイアログが表⽰されます。
6. 以下のメールオプションを指定します。メールにサーチとレポートのデータを含める⽅法については、この
マニュアルの「スケジュール済みレポート配信でのトークンの使⽤」を参照してください。
12
[宛先] 、[CC] 、および [BCC] メール受信者。
メール受信者のカンマ区切りリストを指定します。
優先度
優先度を利⽤できるかどうかは、メールクライアントによって異なります。
件名
メッセージ
[含める] 項⽬
以下の項⽬を含めることができます。
サーチに関する情報
レポートへのリンク
サーチ⽂字列
結果の CSV 添付ファイル
サーチ結果に関する情報
結果へのリンク
結果のインラインテーブル
結果の PDF 添付ファイル
7. [スクリプトを実⾏] を選択します。
このオプションを有効にして、指定したスケジュールで実⾏するスクリプト名を⼊⼒します。スクリプト設
定の詳細は、このマニュアルの「スクリプトの実⾏」を参照してください。
8. [保存 ] をクリックします。
スケジュール済みレポート配信でのトークンの使⽤
トークンは、サーチジョブが⽣成したデータを表すある種の変数です。Splunk Enterprise には、サーチが⽣成し
た情報をメールのフィールドに記⼊するために利⽤できる、さまざまなトークンが⽤意されています。スケジュー
ル済みレポート配信の場合、メールのフィールドに以下のトークンを使⽤することができます。
件名
メッセージ
フッター
トークンの値にアクセスするには、以下の構⽂を使⽤します。
$<token-name>$
たとえば、スケジュール済みレポート配信の件名フィールドにレポートを含む App を引⽤するには、以下のよう
にトークンを指定します。
$app$ からのサーチ結果
メール通知に利⽤できるトークン
このセクションは、レポートのスケジュール済みメール配信に使⽤できる⼀般的なトークンを記載しています。
サーチが⽣成するデータにアクセスするトークンは、4 つのカテゴリに分けられます。トークンを使⽤するコンテ
キストが異なっています。
以下の表には、すべてのカテゴリのトークンを記載しています。すべてのカテゴリのトークンを、スケジュール済
みレポート配信に利⽤できます。
カテゴリ
説明
コンテキスト
サーチメタデータ
サーチに関する情報。
ダッシュボードのスケジュール済み PDF 配
信
サーチからのアラートアクション
スケジュール済みレポート
サーバー情報
Splunk Enterprise サーバーに関する情
報
ダッシュボードのスケジュール済み PDF 配
信
サーチからのアラートアクション
スケジュール済みレポート
サーチ結果
サーチ結果へのアクセス
サーチからのアラートアクション
スケジュール済みレポート
ジョブ情報
サーチジョブ固有のデータ
サーチからのアラートアクション
スケジュール済みレポート
このトピックに記載している⼀般的なトークンの他に、savedsearches.conf および alert_actions.conf 設定ファイル
には、トークンから値を利⽤できる属性が記載されています。これらの属性の値を利⽤するには、各属性をトーク
ン区切り⽂字「$」で囲んで指定します。
サーチメタデータにアクセスするトークン
サーチに関する情報にアクセスする⼀般的なトークン。これらのトークンは、以下のコンテキストで利⽤すること
ができます。
アラートアクション
スケジュール済みレポート
ダッシュボードのスケジュール済み PDF 配信
⼀般的に利⽤可能なトークンを以下に⽰します。
13
トークン
説明
$action.email.hostname$ メールサーバーのホスト名。
$action.email.priority$
サーチの優先度。
$app$
サーチがある App 名。
$cron_schedule$
App の Cron スケジュール。
$description$
サーチの説明。
$name$
サーチの名前。
$next_scheduled_time$
次回のサーチ実⾏時刻。
$owner$
サーチの所有者。
$results_link$
(アラートアクションとスケジュール済みレポートのみ)
サーチ結果へのリンク。
$search$
実際のサーチ。
$trigger_date$
(アラートアクションのみ) アラートの⽣成⽇。
$trigger_time$
(アラートアクションのみ) スケジュールされているアラー
ト実⾏の時刻。
$type$
サーチがアラート、レポート、ビュー、またはサーチコマン
ドからのものかどうかを⽰します。
$view_link$
保存済みレポートを表⽰するためのリンク。
$alert.severity$
アラートの重⼤度レベル。
$alert.expires$
アラートの失効時刻。
結果から利⽤できるトークン
結果から、result.<fieldname> トークンを使って、サーチ結果内の指定フィールドの最初の値にアクセスすること
ができます。このトークンは、以下のコンテキストで利⽤することができます。
アラートアクション
スケジュール済みレポート
トークン
$result.fieldname$
説明
サーチ内の最初の結果から、指定したフィールド名の最初の
値を返します。フィールド名は、サーチ内に存在していなけ
ればなりません。
ジョブ情報にアクセスするトークン
サーチ ID やサーチジョブが⽣成したメッセージなどの、サーチジョブ固有のデータにアクセスする⼀般的なトー
クンです。これらのトークンは、以下のコンテキストで利⽤することができます。
アラートアクション
スケジュール済みレポート
トークン
説明
$job.earliestTime$
サーチジョブ開始の初期時刻。
$job.eventSearch$
サーチのどの変換コマンドよりも前の部分を含む、サーチの
サブセット。
$job.latestTime$
サーチジョブに記録されたもっとも遅い時間。
$job.messages$
サーチジョブが⽣成した、エラーおよびデバッグメッセージ
のリスト。
$job.resultCount$
サーチジョブが返した結果数。
$job.runDuration$
サーチ完了までにかかった時間 (秒)。
$job.sid$
サーチ ID。
$job.label$
サーチジョブに与えられた名前。
サーバーから利⽤できるトークン
Splunk Enterprise サーバーから利⽤できる詳細情報を提供する⼀般的なトークン。これらのトークンは、ダッ
シュボードのスケジュール済み PDF 配信に利⽤できます。
14
利⽤できる⼀般的なトークンを以下の表に⽰します。
トークン
説明
$server.build$
Splunk Enterprise インスタンスのビルド番号。
$server.serverName$
Splunk Enterprise インスタンスのサーバー名。
$server.version$
Splunk Enterprise インスタンスのバージョン番号。
廃⽌予定のメール通知トークン
前のリリースの Splunk Enterprise の、以下のトークンは廃⽌予定になりました。
トークン
説明
$results.count$
(廃⽌予定) $job.resultCount$ を使⽤してください。
$results.url$
(廃⽌予定) $results_link$ を使⽤してください。
$results.file$
(廃⽌予定) 代わりに利⽤できるトークンはありません。
$search_id$
(廃⽌予定) $job.id$ を使⽤してください。
レポート配信の cron スケジュールの指定
標準の cron 表記を使って、独⾃の配信スケジュールを定義することができます。[cron] を選択すると、cron ス
ケジュールを⼊⼒するフィールドが表⽰されます。
注意: Splunk Enterprise は cron 表記で 5 つのパラメータを使⽤します (6 つではない)。他の表記で⼀般的な 6
番⽬のパラメータ year は使⽤しません。
パラメータを以下に⽰します。
(*
* * * *)
それぞれが以下に対応しています。
minute hour day month day-of-week。
以下にいくつかの cron 例を⽰します。
*/5 * * * *
: Every 5 minutes
*/30 * * * *
: Every 30 minutes
0 */12 * * *
: Every 12 hours, on the hour
*/20
: Every 20 minutes, Monday through Friday
* * * 1-5
0 9 1-7 * 1
: First Monday of each month, at 9am.
スケジュール済みレポートの結果をメールに⼊れる
スケジュール済みレポートのメールに結果を含めるには、さまざまな⽅法があります。
インライン
レポート結果をメールの本⽂にテキストとして記載します。
CSV 添付ファイル
結果をメールに CSV 形式で添付します。このオプションを指定すると、結果が CSV 形式に変換されます。
PDF
メールに PDF ファイルを添付します。このオプションを指定すると、結果が PDF 形式に変換されます。
Splunk Web でスケジュール済みレポートを設定する際に、結果をどのように含めるかを指定することができま
す。このマニュアルの「メール配信およびスクリプト実⾏のためのレポートのスケジュール」を参照してくださ
い。
また、alert_actions.conf または savedsearches.conf 設定ファイルに、結果をどのように含めるのかを設定すること
もできます。グローバルなプロパティを設定するには、alert_actions.conf を使⽤します。個別のレポートを設定
するには、savedsearches.conf を使⽤します。『アラートマニュアル』の「savedsearches.conf 内のアラート設
定」を参照してください。
Splunk の統合 PDF ⽣成機能の使⽤⽅法の詳細は、このマニュアルの「レポートやダッシュボードの PDF の⽣
成」を参照してください。
結果をメール本⽂にテキストとして記載する場合の、スケジュール済みレポートメールの例を以下に⽰します。
15
スクリプトを実⾏
スケジュール済みレポートの実⾏時に、スクリプトを実⾏するように設定することができます。たとえば、スケ
ジュール済みレポートで API を呼び出すスクリプトを実⾏し、レポート結果を他のシステムに送信することがで
きます。このマニュアルの「メール配信およびスクリプト実⾏のためのレポートのスケジュール」には、スクリプ
トを実⾏するためのスケジュール済みレポートの設定⽅法が記載されています。
セキュリティ上の理由から、スクリプトは Splunk Enterprise インスタンス内の以下のいずれかの場所に保管し
てください。
$SPLUNK_HOME/bin/scripts
$SPLUNK_HOME/etc/<AppName>/bin/scripts
シェルスクリプトまたはバッチファイルを使った、スケジュール済みレポートでのスクリプト実⾏を設定すること
もできます。この設定は、savedsearches.conf 設定ファイル内で⾏います。詳細は、『管理マニュアル』の「スク
リプトアラートの設定」を参照してください。
スケジュール済みレポートのスクリプトに関する問題がある場合は、Splunk Community Wiki にあるスクリプト
のトラブルシューティングに関するトピックを参照してください。
[設定] でのレポートのスケジュール
[設定] では、保存済みレポートの動作を [スケジュールの編集] ダイアログでスケジュールしたレポートと同じよ
うに設定することができます。
1. [設定] > [サーチとレポート] に移動して、[このサーチをスケジュール] を選択してスケジュール/アラートオ
プションを表⽰します。
2. レポートのスケジュールを設定します。[スケジュールタイプ] は、[基本] (各種事前設定オプションから選択可
能) および [cron] (標準の cron 表記を使ってスケジュールを設定可能、前述) を選択できます。
3. このレポートを [スケジュールの編集] ダイアログでスケジュールされたレポートのように動作させるには、ア
ラートの [条件] に [常時] を設定します。こうすることにより、定義したアラートアクションが、サーチの実⾏時
に毎回実⾏されます。
4. [アラートモード] が [サーチ当たり 1 回] に設定されていることを確認してください。スケジュール済みレポー
トでは、[抑制] を設定する必要はありません。また、[有効期限] および [重⼤度] もスケジュール済みレポートで
はさほど重要な設定ではありません。
5. スケジュール済みレポートに必要なアラートアクションを設定します。利⽤できるすべてのアラートアクション
オプションの詳細については、このマニュアルの「アラートアクションの設定」を参照してください。⼤部分のス
ケジュール済みレポートは、[メール送信] および [スクリプトを実⾏] アクションのみを利⽤しています。
6. [サマリーインデックス] の設定については、以降のサブトピック「サマリーインデックスを有効にする」を参
照してください。これは、このスケジュール済みレポートで、サマリーインデックスに⼊⼒する場合にのみ必要に
なります。
7. 変更内容を保存するには、[保存] をクリックします。
サマリーインデックスを有効にする
サマリーインデックスは、[管理] > [サーチとレポート] で任意のスケジュール済みレポートに対して設定できる
16
アクションです。⻑期に渡る⼤量のデータの分析/レポート作成には時間がかかり、また複数のユーザーが定期的
に類似のレポートを実⾏する場合、パフォーマンスも低下してしまいます。このような場合は、サマリーインデッ
クスを使⽤します。
サマリーインデックスを利⽤して、タイムスライスをカバーするイベントの⼗分な統計情報を算出するレポートを
ベースにしたスケジュール済みレポートを作成します。レポートの実⾏時には、結果を指定したサマリーインデッ
クスに保存するように設定します。次に、サマリーインデックスがイベントを受け取る巨⼤なデータ セットでは
なく、この⼩さな (そして⾼速な) サマリーインデックスに対してレポートを実⾏できます。
注意: すでにレポート⾼速化を利⽤しているレポートに、サマリーインデックスを使⽤する必要はありません。
低速なレポートを⾼速化するこれらの 2 種類の⽅法の違いについては、『ナレッジ管理』マニュアルの「レポー
ト⾼速化とサマリーインデックスについて」を参照してください。
スケジュール済みレポートのサマリーインデックスを設定するには、[設定] > [サーチとレポート] に移動して、
サマリーインデックスを使⽤するレポートの詳細ページを表⽰して、[サマリーインデックス] の下にある [有効]
をクリックします。サマリーインデックスを有効にして定期的にデータを収集するには、レポートのアラートの
[条件] が [常時] でなければなりません。
注意: サマリーインデックスを使⽤するサーチを適切に作成するためには、さまざまな注意を払う必要がありま
す。たいていの場合は、特別な変換コマンドを使⽤する必要があります。『ナレッジ管理』マニュアルの「サマ
リーインデックスを使ったレポート効率の向上」を参照し、完全に理解しない限り、サマリーインデックス
は設定しないでください。
他のユーザーのスケジュール済みレポートへのアクセスを有効にする
App 内のナレッジオブジェクト への書き込みアクセスが許可されているロール を保有している場合、レポート
の権限を設定して、App またはグローバルレベルで他のユーザーにそれを利⽤させることができます。
最初にサーチまたはピボットをレポートとして保存する際に権限を設定することができます。以下の⽅法で、既存
のレポートの権限を設定することができます。
レポート⼀覧ページに移動して、⽬的のレポートを探し、以下のいずれかの作業を⾏います。
レポートの⾏を展開し、[権限] の [編集] をクリックします。
[編集] をクリックして、[権限の編集] を選択します。
レポート表⽰ページに移動して、以下のいずれかの作業を⾏います。
[編集] をクリックして、[権限の編集] を選択します。
[詳細] をクリックして、権限ステータスの隣にある [編集] をクリックします。
[設定] > [サーチとレポート] に移動して、⽬的のレポートの [権限] をクリックします。
Splunk Enterprise ナレッジオブジェクト (レポートなど) の権限の管理については、『ナレッジ管理』マニュア
ルの「ナレッジオブジェクト権限の管理」を参照してください。
同時スケジュール済みレポートの優先度の管理
Splunk Enterprise 導⼊時の設定によっては、スケジュール済みレポートを 1 回に 1 つしか実⾏できない場合も
あります。このような制限がある場合、複数のレポートがほぼ同じ時刻に実⾏するようにスケジュールされている
と、Splunk Enterprise のサーチスケジューラにより、設定されている期間のデータを収集するように、順番にレ
ポートが実⾏されます。ただし、現在のデータを取得するために、またはデータ収集の空隙が⽣じないように、他
のレポートよりも特定のレポートの実⾏を優先させる必要がある場合もあります (ニーズによる)。
スケジュール済みレポートの優先度を設定するには、savedsearches.conf を編集します。この機能の詳細は、この
マニュアルの「スケジュール済みレポートの優先度の設定」を参照してください。
スケジュール済みレポートの埋め込み
レポートの埋め込みにより、レポート結果を多数の関係者に提供することができます。レポート埋め込み機能を
使って、スケジュール済みレポートを外部 (Splunk 以外) の Web サイト、ダッシュボード、およびポータルに埋
め込むことができます。埋め込むレポートには、イベントのビュー、テーブル、グラフ、地図、単⼀値、またはそ
の他の視覚エフェクトを利⽤して、結果を表⽰することができます。オリジナルのレポートと同じ書式設定が使⽤
されます。
注意: レポートの定期実⾏をスケジュールしないと、そのレポートを埋め込むことはできません。埋め込みレ
ポートは常に最後のスケジュール実⾏の結果を表⽰します。4 時間ごとに、過去 24 時間の情報を表すレポートを
実⾏するように埋め込みレポートを設定した場合、過去 4 時間に取得された前の 24 時間の期間を表す結果が常
に表⽰されます。このデザインにより、Splunk Enterprise インスタンスの負荷を減らせます。また、新たな埋め
込みレポートは、最初に実⾏されるまでの間は空になります。
埋め込みレポートでは、Splunk Enterprise で参照するレポートのすべての機能を利⽤できる訳ではありません。
たとえば、ドリルダウン、ワークフローアクションのサポート、ラベルのソート、フィールド拡張などの機能を埋
め込みレポートで利⽤することはできません。また、リアルタイムサーチもサポートされていません。
Splunk Enterprise でスケジュール済みレポートの埋め込み機能を利⽤できるかどうかは、embed_report 権限 に
よって決まります。デフォルトでは、この権限は Power User ロール 、およびそれを継承する任意のロール
(Admin など) に制限されています。この権限を持たないユーザーは、スケジュール済みレポートの埋め込みを有
効または無効にすることはできません。
いったんレポートを埋め込んだら、それを編集することはできません。編集する場合は、埋め込みを無効にする必
要があります。詳細は、後述する「レポートの埋め込み」を参照してください。
重要: レポートを埋め込む前に、server.conf 内の embedSecret パラメータに、任意の⽂字列値を設定する必要があ
ります。そうすることにより、将来のバージョンの Splunk Enterprise に、埋め込みレポートが正しく移⾏され
ます。後述する「アップグレード/移⾏のための embedSecret パラメータの設定」を参照してください。
17
レポートの埋め込み
レポートを埋め込む権限がある場合、レポート⼀覧ページに表⽰される任意のレポートを埋め込むことができま
す。
1. レポート⼀覧ページで⽬的のレポートを探します。
注意: レポートを埋め込む前にそれを実⾏し、必要に応じて結果のフォーマットを調整する必要がありま
す。ここでの定義内容が、外部サイトに埋め込んだ後の結果の表⽰に影響します。埋め込みを有効にしたレ
ポートを編集することはできません。
2. レポートを埋め込むには、[編集] をクリックして、[埋め込み] を選択します。
または、レポートの⾏を展開して、[埋め込み] の隣りにある [編集] をクリックします。
まだレポートのスケジュールを設定していない場合、[レポートのスケジュールが必要] ダイアログが表⽰さ
れます。レポートをスケジュールするには、[レポートのスケジュール] をクリックします。詳細は、この
マニュアルの「レポートのスケジュール」を参照してください。
レポートがすでにスケジュールされている場合は、[レポート埋め込みを有効にする] ダイアログが表⽰され
ます。このダイアログは、[レポートのスケジュールが必要] ダイアログが表⽰された後、レポートをスケ
ジュールする場合にも表⽰されます。
3. [レポート埋め込みを有効にする] ダイアログで、[埋め込みを有効にする] をクリックして、レポートを埋め込
みます。
[埋め込み] ダイアログに、数⾏のコードが表⽰されます。これを HTML ベースの Web ページに貼り付ける
ことができます。
4. [埋め込み] ダイアログからコードをコピーして、レポートを埋め込む HTML ベースの Web ページに貼り付け
ます。
5. [完了] をクリックすると、[埋め込み] ダイアログが閉じられます。
注意: 新たに埋め込んだレポートは、予定されている最初の実⾏が⾏われるまでの間は、データや視覚エフェク
トは表⽰されません。レポートが毎時間ごとに実⾏されるようにスケジュールされており、各時間の途中でレポー
トを埋め込んだ場合、約 30 分ほどしないと結果は表⽰されません。
レポートを埋め込んだ後は、[埋め込み] ダイアログからいつでも埋め込み⽤のコードを⼊⼿することができます。
[埋め込み] ダイアログを開いてコードを⼊⼿するには、2 種類の⽅法があります。レポート⼀覧ページに移動し
て、以下の作業を⾏います。
埋め込みを有効にしたレポートの [編集] をクリックして、[埋め込み] を選択します。
レポートの⾏を展開し、[埋め込み] ⾏の [編集] をクリックします。
単⼀のレポートを複数の Web ページに埋め込むことができます。オリジナルのレポートと同じフォーマットで表
⽰されます。
レポート埋め込みを無効にする
レポートを無効にする主な理由は 2 つあります。
レポートを編集する (サーチ⽂字列または表⽰フォーマットを変更する)。埋め込みレポートは編集できませ
ん。
レポートの埋め込みを無効にしたら、それを編集して次にその埋め込みを再度有効にします。レポー
トを埋め込んだ外部 Web サイトに変更内容が反映されたことを確認するには、スケジュールされてい
るレポート実⾏まで待つ必要があります。
レポートを埋め込んでいる外部 Web サイト経由の、レポートへのアクセスを中⽌する。。
レポートを無効にするには、そのレポートの [埋め込み] ダイアログを開いて、[埋め込みを無効にする] をクリッ
クします。
埋め込みレポートの機能の設定
レポートの埋め込みは、そのロールに embed_reports 権限が割り当てられており、その他の .conf ファイル設定が
⾏われていないユーザーが利⽤できます。ただし、Splunk Enterprise の管理者が注意する必要がある、いくつか
の設定が存在しています。もっとも重要なのは embedSecret で、これはレポートの埋め込みを開始する前に
server.conf に定義する必要があります。
アップグレード/移⾏のための embedSecret パラメータの設定
重要: この設定は現在のバージョンの Splunk Enteprise (6.1.x) では必要ありません。すでに埋め込みレポート
を設定している場合に、次のメジャーリリース (6.2 以降) へのアップグレードで必要になります。理想として
は、任意のレポートを埋め込む前に、embedSecret の値を定義する必要があります。embedSecret の値を定義する前
に設定した埋め込みレポートは、アップグレードプロセス中に壊れてしまう可能性があります。この場合、埋め込
まれたサイトでレポートの表⽰に失敗します。
レポートの埋め込み時、通常 Splunk Enterprise インスタンスのレポートを指すために⽣成される URL は、それ
が⽣成されたサーチヘッド上でのみ使⽤できます。server.conf 内の embedSecret パラメータに⽂字列値を設定する
と、サーチヘッドプール内のすべてのサーチヘッドが同じ URL を使⽤できます。
embedSecret
には、任意の⽂字列値を設定することができます。これは、⼀種のパスワードと考えることができま
18
す。デフォルトで、embedSecret パラメータには値がありません。
必要に応じて SSO 認証をバイパス
外部 Web ページにレポートを埋め込んだ場合、各種リソースにさまざまな HTTP リクエストが⾏われます。その
際に、SSO 認証システムが起動されることがあります。この問題に対処するために、web.conf の embed_uri パラ
メータに、代わりの URI IP アドレス、ホスト、またはポートプリフィックスを指定することができます。これに
より、パスがハードコード化されて、外部からアクセス可能な IP アドレスまたはホスト名が使⽤されます。
注意: web.conf の root_endpoint パラメータに明⽰的に値を設定したら、embed_uri に対して定義した任意の項⽬
に、root_endpoint を追加する必要があります。
たとえば、以下のように設定し、
root_endpoint = /splunkui
embed_uri
に
http://foobar:8088
を設定する場合、root_endpoint の値を以下のように追加する必要があります。
embed_uri = http://foobar:8088/splunkui
デフォルトで
パラメータは空です。クライアントブラウザの
で解決されます。
embed_uri
window.location.host
window.location.protocol + "//" +
埋め込みレポート下のフッターの変更
デフォルトで、埋め込みレポートは Splunk ロゴを含むフッターを表⽰します。これを、ご⾃分の好みに応じたテ
キスト⽂字列に変更することができます。web.conf の embed_footer に移動して、別の⽂字列を⼊⼒します。HTML
マークアップを使⽤することはできません。
デフォルト設定の embed_footer = splunk> では、Splunk ロゴがフッターとして表⽰されます。このパラメータを
使って、代わりのアイコンまたは画像を挿⼊することはできません。
レポート埋め込みをグローバルに無効にする
レポートの埋め込みを特定の Splunk Enterprise インスタンスのすべてのユーザーに対して無効にすることがで
きます。server.conf で、allowEmbedTokenAuth パラメータの値を true から falseに変更します。
embed.enabled パラメータ
保存済みサーチエンドポイントは、レポートの埋め込み時に embed.enabled パラメータを savedsearches.conf 内の
スケジュール済みレポートスタンザに追加します。embed.enabled パラメータは、特定のレポートの埋め込みが有効
化どうかを決定します。有効な場合は、1 が設定されます。
スケジュール済みレポートの優先度の設定:
ここでは、レポートスケジューラ (「サーチスケジューラ」とも呼ばれます) 使って同時に実⾏されるスケジュー
ル済みレポートの優先度を設定するための、2 種類の⽅法について説明していきます。⽅法には、「リアルタイム
スケジューリング」と「連続スケジューリング」があります。
リアルタイムスケジューリング では、多数のレポートがほぼ同時刻に実⾏するようにスケジュールされて
おり、スケジューラーが⼀度に 1 つのレポートしか同時実⾏できない場合でも、常に最新の時間範囲に該当
するスケジュール済みレポートが実⾏されます。その性質のため、リアルタイムスケジューリングのレポー
トにより、他のスケジュールされているレポートの実⾏がスキップされる可能性があります。ただし、連続
スケジューリングでは、常にサーチに優先度が与えられます。
連続スケジューリング では、レポート結果の通知が遅れるような場合でも、各スケジュールが順次実⾏さ
れていきます。これらの設定は、savedsearches.conf を使って保存済みレポートレベルで管理されます。
Splunk Enterprise のデフォルトでは、すべてのスケジュール済みレポートをリアルタイムスケジューリン
グで管理します。ただし、サマリーインデックスに対してスケジュール済みレポートを有効にすると、⾃動
的に連続スケジューリングに切り替えられます。
これらの 2 つのオプションの必要性を理解するには、レポートスケジューラによる同時レポートの処理⽅法を理
解する必要があります。
レポートのスケジュールの詳細は、このマニュアルの「レポートのスケジュール」を参照してください。
このトピックは、レポート⾼速化のために Splunk Enterprise が⾃動的に⾏う、「⾃動サマリー作成」レポート
がどのように処理されるかについても説明しています。詳細はこのトピックの最後にあるサブトピックを参照して
ください。
レポートスケジューラによる同時レポートの処理⽅法
Splunk Enterprise レポートスケジューラーは、同時に実⾏できるスケジュール済みレポート数を制限していま
す。デフォルトで、limits.conf に設定されている max_searches_perc 設定により、スケジューラーが処理できる最
⼤同時サーチ数は、履歴レポートのシステム全体の制限値の 50% になります。
Splunk Enterprise は、次の式で同時履歴レポートの制限を判断します:
システム全体の同時履歴レポート数 = (max_searches_per_cpu x CPU 数) +
19
base_max_searches
のデフォルトは 1 で、base_max_searches のデフォルトは 6 です。たとえば、CPU が 1 つの場
合、7 件の履歴レポートを同時に実⾏することができます。
max_searches_per_cpu
レポート・スケジューラに戻りましょう。max_searches_perc 設定は、システム全体で同時に実⾏できる履歴レポー
ト数を 50% に減らします。そのため、システムに CPU が 1 つだけある場合、レポート・スケジューラーは 3 つ
のスケジュール済みレポートのみを安全に実⾏することができます (3.5 = 7 の 50%)。
また、アドホック・サーチとレポートは、常にスケジュール済みレポートに優先されます。多数のアドホック・
サーチ/レポートを、同時実⾏するスケジュール済みレポートと⼀緒に実⾏した場合、アドホック・サーチ/レポー
トの実⾏が優先されるため、⼀部のスケジュール済みレポートのスケジュールが取り消されることがあります。
スケジューラーで⼀度に 3 件のレポートしか実⾏できない場合に、6 件のレポートが毎時間ごとに過去 1 時間の
データに対して実⾏するようにスケジュールされている場合、どうなるでしょうか?そのスケジュール期間の 4、
5、6 番⽬のレポートは順番に実⾏されます。ただし、各レポートが返す情報の時間範囲は、スケジュールされて
いる時間を基準にしています。
これらの 6 件のスケジュール済みレポートに加えて、3 件のアドホック・サーチを同時に実⾏すると、前述のよ
うに 6 件のスケジュール済みレポートは順番に実⾏されていきます。
注意: ⾃分が何を⾏っているのかをきちんと理解していない限りは、limits.conf を変更することはお勧めできま
せん。
リアルタイムスケジューリングと連続スケジューリングの例
スケジューラーの処理⽅法を学習したら、リアルタイムスケジューリングと連続スケジューリングの違い、および
状況によってどちらを利⽤した⽅が良いかを⾒ていきましょう。
まず、2 つの保存してあるスケジュール済みレポート A と B を例に考えてみましょう。
レポート A は毎分ごとに実⾏され、完了までには 30 秒かかります。
レポート B は 5 分ごとに実⾏され、完了までには 2 分かかります。
また、利⽤する Splunk Enterprise 環境では、⼀度に 1 つのレポートしか実⾏できないものと仮定します。
両⽅のレポートは午後 1 時 5 分に実⾏するようにスケジュールされています。
時間
スケジューラーのアクション
1:05:00pm
スケジューラーは A を 1 時 04 分〜1 時 05 分の期間に実⾏し、次回実⾏を午後 1 時 06 分にスケ
ジュールします。レポート A は午後 1 時 5 分 30 秒 に完了します。
1:05:30pm
スケジューラーはレポート B を実⾏します。レポート B を実⾏します。このレポートは実⾏が完了
するまでに 2 分かかるため、このレポートは 1 時 07 分 30 秒まで完了しません。
1:06:00pm
スケジューラーはレポート A の実⾏時間に実⾏しようとしますが、レポート B が処理中のため実⾏
することはできません。
1:06:59pm
スケジューラは、1:06:59 までレポート A の実⾏を試みます。この時点になると、次に何が⾏われる
かは、レポート A がリアルタイムを使⽤しているのか、または継続的なスケジュールを使⽤している
のかによって異なります (後述)。
レポート A の設定:
リアルタイムスケジューリング :スケジューラーは 1 時 05〜1 時 06 分のレポート実⾏をスキップして、
次回のレポート A の実⾏を午後 1 時 07 分 00 秒にスケジュールします (1 時 06 分〜1 時 07 分の期間)。
新たなレポートの実⾏時間は、現在スケジュールされている実⾏時間に基づきます (午後 1 時 06 分 00
秒)。
連続スケジューリング :スケジューラーはスケジュールをスキップすることなく、午後 1 時 05 分〜1 時
06 分の期間に予定されているレポートを実⾏するために無制限に待機します。そして、結果的にそのレ
ポートが実際に実⾏された時間に関係なく、次に実⾏されるレポート A は午後 1 時 06 分〜1 時 07 分に対
してのものになります。
すべてのスケジュール済みレポートに対して、リアルタイムスケジューリングがデフォルトになっています。これ
は、レポートが現在のデータを返すことを⽬的に設計されています。これは、⼀部のスケジュール済みレポートが
スキップされても、最新のレポート実⾏で最新の結果が返される限り問題はないことを前提にしています。
連続スケジューリングは、レポートデータにギャップができると問題が発⽣するような状況に使⽤されます。⼀般
的には、サマリーインデックスにデータを追加するレポートの場合にのみこのことが影響しますが、他のレポート
でもこれが重要になることがあります。サマリーインデックスに対するレポートを有効にした場合は、⾃動的に連
続スケジューリングに切り替えられます。
注意: サマリーインデックスとそれを⽣成するレポートに関する詳細は、『ナレッジ管理マニュアル』の「レ
ポート効率を向上するサマリーインデックスの使⽤」を参照してください。
リアルタイムスケジュールオプションの設定
システムは、savedsearches.conf 内の realtime_schedule オプションを使って、スケジュール済みレポートの次回実
⾏を判断しています。これは、各スケジュール済みレポート個別に設定されます。
realtime_schedule= 0 | 1
リアルタイムスケジューリングを使⽤する場合は、realtime_schedule に 1 を設定します。この設定では、常
に時間範囲がもっとも近いレポートが実⾏されます。レポートは他のレポートと同時実⾏できない場合もあ
20
るため、このことは⼀部のレポート実⾏がスキップされる可能性があることを意味しています。これは、ス
ケジュール済みレポートのデフォルトです。
連続スケジューリングを使⽤する場合は、realtime_schedule に 0 を設定します。この設定では、スケジュー
ル済みレポートがスキップされることはありません。サマリーインデックスが有効になっているスケジュー
ル済みレポートに対しては、⾃動的にこの値が 0 に設定されます。
スケジューラーは、リアルタイムスケジューリング設定のレポートを連続スケジューリング設定のレポートよりも
優先するように設計されています。常にリアルタイムスケジューリング設定のレポートを先に実⾏しようと試みま
す。
注意: サマリーインデックスを設定するレポートに realtime_schedule=1 を設定してはいけません。設定すると、
レポートがスキップされてしまう可能性があります。それが原因でサマリーインデックスにギャップが発⽣する
と、サマリーインデックスの信頼性が損なわれてしまいます。
レポート⾼速化とレポートスケジューラー
完了までに時間がかかるようなレポートにレポート⾼速化を使⽤している場合、その過程でスケジュール済みレ
ポートを活⽤していることに注意してください。新たなレポート⾼速化サマリーを⽣成するためにバックグラウン
ドで継続的に実⾏され、それ以降のサマリーデータが更新されていきます。
デフォルトでは、レポートスケジューラーには、レポートを⾼速化するためのサマリーデータの作成と更新のため
に、合計レポート帯域幅の 25% までの利⽤が許可されています。この値を変更することはお勧めできませんが、
変更する必要がある場合は、limits.conf で auto_summary_perc 属性の値を適切な値に変更してください。
レポートスケジューラーは、レポート⾼速化サマリーにデータを追加するレポートを、最低の優先度で実⾏しま
す。これらの「⾃動サマリーデータ作成」レポートが、ユーザーが定義したアラート、サマリーインデックスレ
ポート、および通常のスケジュール済みレポートと競合している場合、ユーザー定義のアラートとレポートが常に
最初に実⾏されます。この場合、Splunk Enterprise が他の優先するレポートを実⾏するために、サマリーが作
成/更新されない可能性があります。
レポート⾼速化の詳細は、『ナレッジ管理』マニュアルの「レポート⾼速化の管理」を参照してください。
レポートとダッシュボードの PDF の⽣成
バージョン 6.2 以降の Splunk Enterprise では、PDF Report Server App のサポートが廃⽌されました。つま
り、バージョン 6.2 からは、アドバンスト XML をベースにしたダッシュボードやフォームから、PDF を⽣成で
きなくなりました。
代わりに、PDF の⽣成には統合 PDF ⽣成機能が使われています。
統合 PDF ⽣成機能の使⽤
以下の作業を⾏えます。
ダッシュボードの PDF ⽣成は、ボタンをクリックして⾏えます。
サーチ、レポート、およびダッシュボードの PDF を、指定した⼀連の受信者に、定期的に送信することが
できます。
特定のアラート条件を満たした場合に、サーチやレポートの PDF を、指定した⼀連の受信者に送信するこ
とができます。
ダッシュボード PDF の⽣成
Splunk Enterprise でダッシュボードを表⽰している時に、[PDF の⽣成] をクリックすると PDF ファイルが⽣
成されます。この PDF はブラウザや他の PDF ビューアで表⽰できます。この機能の詳細は、『データの視覚化
マニュアル』の「ダッシュボード PDF の⽣成」を参照してください。
PDF 形式の画像を表⽰しないブラウザを使⽤している場合は (Internet Explorer 8 など)、PDF ビューアアプリ
ケーションをインストールしないと、Splunk Enterprise が⽣成した PDF を表⽰できません。
PDF を定期的にメールで送信
レポートやダッシュボードの PDF を、関係者に定期的にメールで送信することができます。スケジュールには任
意の間隔を設定できます。毎時間、毎⽇午前 0 時、毎週⽇曜⽇の正午など、任意の時間を設定できます。
レポートの PDF を 1 ⼈または複数の受信者にメールで定期的に送信するには、⽬的の結果を返すサーチを作成
し、適切な書式を設定した後、[スケジュール済みサーチの作成] ダイアログを使⽤します。[作成] をクリックし
て、[スケジュール済みサーチ...] を選択します。詳細は、このマニュアルの「レポートのスケジュール」を参照し
てください。
ダッシュボードの PDF を、1⼈または複数の受信者にメールで定期的に送信するには、⽬的のダッシュボードに
移動して [PDF 配信のスケジュール] をクリックして、[PDF 配信のスケジュール] ダイアログを表⽰します。詳
細は、『データの視覚化』マニュアルの「ダッシュボード PDF の⽣成」を参照してください。
サーチコマンドを使って、サーチ結果の PDF 版を 1 回のみメール配信することもできます。サーチ内
にこのコマンドを指定すると、サーチの実⾏時に PDF 形式の結果を送信することができます。詳細は、『サーチ
リファレンス』の「sendemail」を参照してください。(sendemail コマンドでは、メール配信のスケジュール設定
はできないことに注意してください。このコマンドは単純に、サーチ実⾏時のサーチ結果をメール送信していま
す。)
sendemail
アラートメールでの PDF 送信
21
アラート⽣成時に、そのサーチ結果を記載した PDF を添付したメールを送信するように、アラートを設定するこ
とができます。各種アラートの作成⽅法については、『アラートマニュアル』の「アラートについて」を参照して
ください。
例外
統合 PDF ⽣成機能では、以下の処理は⾏えません。
アドバンスト XML で作成されたダッシュボードの PDF ⽣成。
フォームからのスケジュール設定 PDF の⽣成。
ヒートマップの印刷。
アドバンスト XML を使ったダッシュボードとフォームは PDF 出⼒できない
アドバンスト XML を使⽤するダッシュボードを出⼒したい場合は、そのダッシュボードのシンプル XML 版を作
成してください。シンプル XML はさまざまなグラフ機能をサポートしています。また、動的なドリルダウン機能
およびダッシュボード/フォーム内でのサーチの後処理機能も持っています。シンプル XML を使ったダッシュ
ボードの作成⽅法については、『ダッシュボードと視覚エフェクト』マニュアルを参照してください。
スケジュール済みフォームは PDF 出⼒できない
統合 PDF ⽣成機能は、スケジュール済みフォームを出⼒できません。シンプル XML を使って作成された 1 回限
りのフォームのみ出⼒できます。
ヒートマップは PDF 出⼒されない
視覚エフェクト内のヒートマップのシェーディングは PDF には表⽰されません。残りの視覚エフェクトは、⽣成
された PDF に表⽰されます。
リアルタイムサーチと統合 PDF ⽣成
統合 PDF ⽣成機能を使ってリアルタイムに実⾏されているサーチ、レポート、またはダッシュボードパネルの
PDF を⽣成する場合、Splunk Enterprise はそのサーチを履歴サーチに変換します (基本的には、時間範囲から rt
を削除する)。そのため、5 分ウィンドウのリアルタイムサーチの場合、PDF には⽣成時から過去 5 分間の実⾏結
果が表⽰されます。
ダッシュボードにリアルタイム全時間を対象にしたサーチ結果を表⽰するパネルがある場合、そのダッシュボード
の PDF には全時間を対象にしたサーチ結果が表⽰されます。
⾮ラテンフォント使⽤の有効化
Splunk Enterprise には、ラテンフォントのパッケージの他に、⽇本語、韓国語、簡体中国語、繁体中国語を処理
するための⼀連の CID フォントが⽤意されています。
CID フォントのロード⽅法を指定するには、alert_actions.conf 内の reportCIDFontList パラメータを変更します。
特定の⽂字コードの記号を複数のフォントが提供している場合は、リスト内で最初に指定されたフォントの記号が
使⽤されます。デフォルトは reportCIDFontList = gb cns jp kor で、これらはそれぞれ簡体中国語、繁体中国語、⽇
本語、および韓国語を表しています。
特定の⽂字コードの記号を複数のフォントが提供している場合は、リスト内で最初に指定されたフォントの記号が
使⽤されます。CID フォントのロードをスキップするには、reportCIDFontList の値を空にしてください。
PDF で別の TrueType ⾮ラテンフォント (Cyrillic や Greek など)を使⽤する場合は、Splunk Enterprise 管理者
に $SPLUNK_HOME/share/splunk/fonts への Unicode フォントの追加を依頼してください。fonts ディレクトリが存在
していない場合は、ディレクトリを作成します。
注意: 複数のフォントがインストールされている場合、それらはアルファベット順にソートされます。そのた
め、Cyrillic と Greek をインストールした場合、$SPLUNK_HOME/share/splunk/fonts ファイルで Greek が先に来るよ
うにファイル名を変更しない限り、常に Cyrillic が選択されます。
統合 PDF ⽣成機能のその他の設定
統合 PDF ⽣成機能の⼀部のオプションを、limits.conf および
alert_actions.conf
に設定することができます。
lim its.c onf
スタンザで max_rows_per_table を使って、単純な結果テーブルから PDF に出⼒する最⼤⾏数を設定できま
す。デフォルトは 1000 です。
[pdf]
注意: テーブルの⾏数が多い場合、レポートが複数ページにまたがる可能性があります。ダッシュボードの PDF
版のページ数を減らしたい場合は、この値を使ってテーブルの⾏数を制限してください。
また、このスタンザでは、render_endpoint_timeout の設定を、デフォルトの 3600 秒 (1 時間) から変更することが
できます。これは、処理完了までに時間がかかるサーチの PDF を⽣成するために、Splunk Enterprise が待機す
る時間を表しています。
a lert_a c tions.c onf
22
の reportIncludeSplunkLogo パラメータは、PDF のフッターに Splunk Enterprise ロゴを表⽰す
るかどうかを⽰しています。デフォルトでは 1 (真 (True)) に設定されています。Splunk Enterprise ロゴを PDF
に表⽰しない場合は、0 (偽 (False)) を設定してください。
alert_actions.conf
サーチ結果またはフォーマット済みレポートの出⼒
⼀連のサーチ結果または書式設定レポート (テーブルや視覚エフェクトを表⽰) を PDF 出⼒する場合は、統合
PDF ⽣成機能が使⽤されます。
ただし、PDF のメールによる定期配信の設定、または sendemail コマンドを使⽤する場合は、[設定] > [サー
チ、レポート、アラート] で、設定を⾏う必要があります。
システム要件
サポートしているオペレーティングシステム:
Solaris (x86 のみ、SPARC は対象外)
Linux カーネルバージョン 2.6.x 以上
Windows Server 2003/2003 R2 (64 ビット)、2008/2008 R2 (64 ビット)
Windows Vista (64 ビット)、XP、7 (64ビット)
Mac OS X 10.5 および 10.6 (Intel Mac 版)
統合 PDF ⽣成機能は、Splunk Enterprise がサポートしている任意のブラウザをサポートしています。ただし、
Internet Explorer を使⽤している場合は、Adobe Acrobat もインストールすれば、表⽰上の問題の発⽣が減少し
ます。
Answers
何か質問がありますか?「Splunk Answers」では、Splunk コミュニティに寄せられた、PDF ⽣成機能に関する
質問と回答をご覧いただけます。
23