安裝Excel Export 排除難題一次搞定

2012-02-17

Owen Lee

Splunk將搜尋結果以csv格式輸出，可以方便進行其他的處理與用途，但是以一般的方式輸出會出現一些意想不到的狀況，本文將借重「Excel Export」應用程式一次解決這些問題。

通常，Splunk可以將搜尋的結果匯出成csv格式，讓使用者拿去做其他的處理。Splunk有許多匯出csv的方式，但是實務應用時卻會碰到各式各樣的限制與麻煩。

譬如，如下圖所示在搜尋頁面點選【Action】→【Export results】，然後選擇csv檔案類型。但是，這個方法有限制，最多只能匯出一萬筆資料，這個限制著實讓人傷腦筋。

而另一個替代方案是，在搜尋語句最後使用outputsv指令，將結果匯出成csv檔案，但問題是Splunk會將檔案放在Splunk Server的某個路徑下，此路徑不能更改，所以若不是該設備的管理人員，可能沒有權限存取到這個目錄。

還有，第三個方案是將搜尋語句儲存成「scheduled saved search」，定時地在背景執行。可以要求Splunk將搜尋結果儲存成csv檔案，並且以電子郵件的方式寄出。這個方案看似不錯，但是使用者收到csv檔案後會發現怎麼多了許多奇怪的欄位。

原來，Splunk不僅僅將搜尋結果打包，還將平時隱藏的一些欄位一起打包寄出，一般使用者對此當然無法接受。因應作法是另外再寫一個Shell Script，將檔案先處理過再寄出。

可是，問題還是沒有解決！使用者會問，為什麼不能用Excel直接開啟csv檔案？一定要用匯入的方式？原因是這又牽涉到另外一些技術問題，例如中文編碼（Splunk使用UTF-8）以及Excel特有的BOM檔頭問題等等。該如何排除以上這些層出不窮的難題呢？

幸好，有一位作者Araitz開發出名為「Excel Export」的App，可以解決以上所有的問題，真可說是造福蒼生。

安裝使用Excel Export

「Excel Export」的使用方法很簡單，只須依照以下的步驟一步一步執行即可：

STEP 1：登入Splunk，在任一畫面點選右上角的Manager（管理）連結。

STEP 2：注意左上角Apps連結，然後加以點選。

STEP 3：本頁顯示所有已安裝的Splunk Apps清單，但是這次要安裝一個新的App，名稱為「Excel Export」，所以必須連到Splunk官方網站下載，點選其中的「Find more apps online」。

STEP 4：成功連到Splunk官方網站後，將會看到所有Apps清單。在右上角搜尋列輸入「excel」，並點選右方的綠色搜尋鈕。

STEP 5：找到一個名為「Splunk for Excel Export」的App，可以查看作者是誰、最新的版本何時發布、版號、被下載的次數以及版權擁有者。它是免費的，不用再花費任何費用。

STEP 6：下方有一個名稱為「Install Free」的綠色按鈕（如果已經安裝過，就不會出現此按鈕），在上面按一下滑鼠左鍵。

STEP 7：此時Splunk會要求驗證你的身分，如果還不是Splunk的會員，請趕快加入，有很多好用或是新奇的Apps可以免費下載。

STEP 8：成功登入之後，會自動下載與安裝，這些都在背景執行。安裝成功後會顯示「Restart Splunk」（重新啟動Splunk服務）的訊息，請重新啟動。當然，如果是有其他使用者正在使用，請通知他們一下，勿逕行重啟。

完成以上的步驟就完成了啟用動作，步驟雖多，但是都很簡單，通常在1分鐘內就可以全部完成。

加入Excel Export功能

接著，須決定將Excel Export的功能加入到哪些畫面（Dashboard）上，通常都會想放到Search主畫面上，因為這是最常使用的畫面，Search主畫面其實有個正式的名稱，叫做「flashtimeline」。

接下來，就要找出產生這個畫面的檔案進行修改。這也不難，跟著下面的說明一步步做就好：

STEP 1：參照上圖所示，在上方URL最後的「flashtimeline」就是檔案名稱，由於Splunk的畫面都是由XML檔案組成的，所以確實的檔案名稱是flashtimeline.xml，而存放路徑是在「$SPLUNK_HOME/etc/apps/search/default/data/ui/views/」內。不要直接修改這個檔案，應將這個檔案複製一份到「$SPLUNK_HOME/etc/apps/search/local/data/ui/views/」之下，並修改後者。路徑不存在是正常的，請直接新增這串路徑。