Splunk ログ調査を効率化する方法その②（サーチマクロの使用）

Splunkでログ調査をしていて、調査に時間がかかったり、毎回同じような調査をして疲れているというシーンはありませんでしょうか。

今回は今まで30分程かかっていた調査が5分程に短縮されるような方法を紹介します。

以下３つを紹介予定ですが、今回の記事では②を紹介します。

①ワークフローアクションを使用した方法（こちらの記事）
②サーチマクロを使用した方法
③Splunkアプリを使用した方法（こちらの記事）

▼サーチマクロとは
マクロとは、コマンドも含めた検索文字列をまとめて保存することができる機能です。検索文に　`マクロ名`　を加えることで、設定した検索文字列が検索条件に追加されます。

よく使う検索条件が長い場合、マクロを利用することで検索条件を記述する手間を省くことが可能です。

▼使用イメージ
通常のSPLを使用したサーチ例

index=main sourcetype=access_combined_wcookie
|table _time action clientip method uri useragent status
|sort _time

サーチマクロを使用したサーチ

index=main sourcetype=access_combined_wcookie
`table_web_access`

▼設定方法

①SplunkのWEB GUIより「設定」->「詳細サーチ」

②「サーチマクロ」を選択

③「新しいサーチマクロ」をクリック

④サーチマクロ名と定義を入力。その後保存

今回は以下のように入力しました
名前：table_web_access
定義：
|table _time action clientip method uri useragent status
|sort _time

▼サーチマクロの使い方
検索文に　`マクロ名`　を加えることで、設定した検索文字列が検索条件に追加されます。

index=main sourcetype=access_combined_wcookie
`table_web_access`

以上となります。