导出搜索结果
您可将搜索结果导出为多种文档格式,以便对数据进行深度分析、生成定向报告或完成其他所需任务。请注意,您可以 在搜索结果中添加组件 以获得数据的多样化可视化呈现。导出时,可选择基于默认的"所有消息"表格或已添加的任何组件进行数据导出。
可用导出格式取决于组件类型及用户许可类型。
聚合组件支持导出以下格式:
-
CSV
-
JSON
-
PDF
-
YAML
-
XLSX
-
XML
对于其他所有部件类型,您可以导出以下格式:
-
CSV
-
GELF(换行分隔)
-
JSON
-
NDJSON(换行分隔的JSON)
-
日志文件/纯文本
-
PDF
参见 部件 了解部件类型及其创建方法。
导出搜索结果
要将搜索结果导出为外部文件:
-
在 搜索 页面,点击搜索栏上 分享 按钮右侧的省略号,然后选择 导出 .
注意
若搜索页面包含多个消息表格部件,系统将弹出对话框供选择导出哪个表格。每次导出仅能包含一个表格。
-
选择要导出的文件格式。
-
选择导出中包含的字段。初始选中字段基于搜索配置的消息表格,可通过下拉列表按需添加其他字段。
-
( 可选 )根据需要添加消息数量限制。若不设限制,导出将包含所有适用数据。
消息按固定分块大小加载,由于最终分块很难恰好达到该大小,实际导出的消息总数可能略超过用户定义的限制值。
-
点击 开始下载 .
此外,您可以通过点击 导出部件 图标直接导出任何部件。对于以表格形式显示数据的部件(例如“所有消息”或“日志视图”),流程与上述相同。对于其他类型的部件(例如“消息计数”或“事件概览”),您只能选择输出格式。
导出仪表板上的搜索结果
您可以从仪表板导出搜索结果,其方式与从 搜索 页面或已保存搜索中导出非常相似。您可以使用搜索栏上的 导出 选项(仅适用于表格部件),或点击任何部件上的 导出部件 图标。
注意
如果您使用搜索栏的 导出 功能,并且仪表板包含跨多个页面的表格,则在需要选择要导出的表格时,所有表格均可供选择。请注意,如果仪表板不包含任何表格部件,则搜索栏的导出选项无效。
导出部件时,结果将包括仪表板上当前显示的值。请记住,仪表板中的每个部件都有自己的搜索条件,但仪表板的搜索栏起到过滤作用。因此,如果您应用了搜索过滤器,导出将仅包括过滤后的结果。如果要导出定义部件的搜索结果,请确保清空仪表板的搜索栏。
装饰器支持
虽然搜索导出支持由装饰器创建的字段,但它们不会列在字段选择选项列表中,必须手动创建。请注意,装饰器支持仅适用于表格部件。
当您想要导出一个装饰过的字段时,在字段选择中输入其名称并点击选项 创建 field_name 。要验证装饰过的字段在当前搜索中是否可用,请点击 编辑 图标打开部件的编辑面板。您可以找到列出的任何可用装饰器。
导出完整消息
如果您想导出完整的原始消息,请记住它必须存在于存储的消息中。一些
安全数据湖
输入和文件传输器可以配置为将原始消息存储在
full_message
字段中。通常,可以使用消息字段导出整个未解析的消息。
故障排除
根据消息数量,导出过程可能需要一些时间。若下载始终未启动或文档未包含预期结果,请查看
server.log
排查潜在问题。您也可尝试通过筛选或分段数据来避免大文件下载,集中获取所需特定内容。
注意
导出搜索结果不一定会保留排序,因为
安全数据湖
出于性能考虑会使用
虚拟_doc
字段进行文档“排序”。所有聚合组件及PDF格式导出将保留您的排序设置。如需有序导出数据,可能需通过其他方式对下载文件进行后处理。