連携機能が拡張されサーチ機能がより柔軟に！ダッシュボードスタジオの可視化ツールも増えました！

サーチの機能追加

●サーチクエリ共有
　　〇サーチクエリ（サーチ文）の共有機能が追加されました。
　　　　-Splunk Web上で実行したサーチクエリをユーザー間で共有できます。
　　　　-サーチ結果は共有されず、サーチクエリのみを共有します。
　　　　-サーチクエリのみを共有するため、管理者はクエリを共有されたユーザーの権限を元に、サーチ結果の表示を制限することが可能になります。

●サーチ画面にダークモードを採用
　　○Search and Reporting の画面がダークモードで表示できるようになりました。

Ingest Actionの機能拡張

●S3におけるパーティション分割の仕様変更
　　○バージョン9.1以降は、タイムスタンプとソースタイプを組み合わせたパーティション分割に対応します。

　　　・タイムスタンプ
　　　　- Day (YYYY/MM/DD) デフォルト
　　　　- Month (YYYY/MM)
　　　　- Year (YYYY)
　　　　- Legacy (9.0以前の仕様で、バッチごとの分割)

　　　・ソースタイプ　(2次キー)

●HFでのIngest Actionライブプレビュー
　　〇HF（ヘビーフォワーダー）においてSplunk Web上でイベントのライブデータをサンプルとして、ルールセットのプレビューが可能になりました。

●宛先に複数のS3を指定可能
　　〇Ingest Actionによって加工されたデータのリモートのイベントストレージとして最大8つのS3を宛先に指定可能になりました

Federated Searchの機能拡張

●Splunk 9.1では以下のFederated Searchの機能が強化されました。
　　〇Splunkの管理者はFederated Searchで、メトリクスデータとジョブデータをマッピングすることが可能になりました。
　　〇Federated Searchの管理者はSplunkのすべてのユーザーに対して以下の機能を無効化できるようになりました。
　　　　-特定のfederated providerに対するfederated search
　　　　-特定のfederated indexに対するfederated search
　　　　-transparent モードでのfederated search
　　　　 ※transparentモードはSplunk Enterprise, Splunk Cloud両方に存在するインデックスを組み合わせた検索（hybrid search）を実施する時に使用します。
　　〇Federated Search実行ユーザーはstandardモードとtransparentモード両方で高速データモデルを使用した検索を実施できるようになりました。

Federated Searchの機能強化

Dashboard Studioのツール拡張

●使用できる可視化ツールが拡張されました。
　　〇Choropleth Map、 Event Viewerが実装できるようになりました。
　　〇ダッシュボード上の可視化結果をサーチ結果とともにCSV形式で出力できるようになりました。
　　〇データソースの使用可否によってグラフを隠せるようになりました。

過去・他のバージョンの機能情報はこちら