导出搜索结果
您可将搜索结果导出为多种文档格式,以便对数据进行深度分析、创建定向报告或执行其他所需任务。请注意,您可以 在搜索结果中添加组件 页面以获取数据的不同可视化形式。导出时,可选择基于默认的"所有消息"表格或已添加的任何组件进行导出。
可用导出格式取决于组件类型及用户许可权限。
聚合组件支持导出以下格式:
-
CSV
-
JSON
-
PDF
-
YAML
-
XLSX
-
XML
对于其他所有部件类型,可导出以下格式:
-
CSV
-
GELF(换行分隔)
-
JSON
-
NDJSON(换行分隔JSON)
-
日志文件/纯文本
-
PDF
参见 部件 了解部件类型及其创建方法。
导出搜索结果
将搜索结果导出为外部文件:
-
在 搜索 页面,点击搜索栏右侧 共享 按钮旁的省略号,然后选择 导出 .
注意
若搜索页面包含多个消息表格部件,系统将弹出对话框供选择导出表格。每次导出仅能包含一个表格。
-
选择要导出的文件格式。
-
选择导出包含的字段。初始选中字段基于搜索配置的消息表格,可通过下拉列表按需添加其他字段。
-
( 可选 )如需添加消息数量限制请在此设置。若不设限制,导出将包含所有适用数据。
消息按固定分块大小加载,由于最终分块很少恰好达到设定大小,实际导出消息总数可能略超用户定义的限制值。
-
点击 开始下载 .
此外,您可直接点击控件上的 导出控件 图标单独导出任何控件。对于表格类控件(如全部消息或日志视图),流程与上述相同;其他类型控件(如消息计数或事件概览)则仅支持选择输出格式。
仪表板搜索结果导出
仪表板的搜索结果导出方式与 搜索 页面或已保存搜索基本一致。既可使用搜索栏的 导出 功能(仅适用于表格控件),也可点击任意控件的 导出控件 图标。
注意
若使用搜索栏 导出 功能且仪表板包含跨页表格,选择导出表格时将显示所有可选表格。需注意:若仪表板不含任何表格控件,搜索栏导出功能将不可用。
控件导出结果包含仪表板当前显示值。请注意仪表板各控件有独立搜索条件,而仪表板搜索栏仅起过滤作用。因此应用搜索筛选器时,导出结果仅为过滤后数据。如需导出定义控件的完整搜索结果,请确保清空仪表板搜索栏。
装饰器支持说明
虽然搜索导出支持装饰器生成字段,但这些字段不会显示在字段选择列表中,需手动创建。注意:仅表格类控件支持装饰器字段
导出装饰字段时,请在字段选择框输入其名称并点击 创建字段名称 选项。要验证当前搜索是否包含某装饰字段,可点击控件 编辑 图标打开编辑面板查看可用装饰器列表。
完整消息导出
如需导出完整原始消息,请注意该消息必须存在于存储数据中。部分
安全数据湖
可以配置输入和文件传输器将原始消息存储在
full_message
字段中。通常,消息字段可用于导出完整未解析的消息。
故障排除
根据消息数量,导出可能需要一段时间。如果下载未开始或文档不包含预期结果,请查看
server.log
以排查可能的问题。您也可以尝试过滤或分段数据,以避免大量下载并专注于所需的特定内容。
注意
导出搜索结果不一定会保留排序,因为
安全数据湖
出于性能考虑使用
虚拟_doc
字段来“排序”文档。所有聚合小部件将保留您的排序顺序以及所有PDF格式的导出。如果需要有序导出数据,您可能需要对下载的文件进行后处理。