Splunk安裝 Excel Export App--排除難題一次搞定

　　Splunk可以將搜尋的結果匯出成csv 格式讓使用者拿去做其他的處理，Splunk 匯出 csv 的方式有許多種，譬如在搜尋頁面點選”Action”- “Export results”- 選擇 csv 檔案類型(如圖一)：

　　這有個限制，就是最多只能匯出一萬筆資料，著實讓人傷透腦筋。另一個替代方案是，在搜尋語句最後使用 outputsv 指令，將結果匯出成csv檔案，但問題是Splunk會將檔案放在 Splunk Server 某個路徑下(路徑不能更改)，所以若不是該機器的管理人員，可能沒有權限存取到這個目錄。第三個方案是將搜尋語句儲存成scheduled saved search，定時在背景執行，可以要求Splunk將搜尋結果儲存成csv檔案並且以eMail方式寄出，這個方案看似不錯，但是，使用者收到 csv 檔案之後，會發現怎麼多出這麼多奇怪的欄位？原來Splunk不僅僅將搜尋結果打包，還將平時隱藏的一些欄位一起打包寄給你，一般使用者當然不能接受。

　　我們的因應作法是，另外再寫一個 shell script 將檔案先處理過再寄出，問題還沒有解決哩！使用者說，為什麼不能用Excel直接開啟csv檔案！？還得用匯入的方式？原來這又牽涉到一些技術問題，包含中文編碼(Splunk使用 UTF-8)以及 Excel 特有的 BOM 檔頭問題，細節不再此贅述。講了這麼多，為的就是要顯示“Excel Export”的作者 Araitz 的功勞，他解決了以上所有的問題，真可說是造福蒼生。

　　使用 Araitz的“Excel Export”App很簡單，請依照以下八個步驟一步一步執行就可以了....[閱讀全文]

　　※本文轉載自《網管人》第72期，作者為精誠資訊 資深專案處長 李大明 。