TIPS

異なるFormatのsourcetypeを同じにする方法

例えば、異なるFormatのcsv fileをすべて、csvというsourcetypeにしたい場合などは、
下記の手順を参照ください。
(1)confファイル定義
$SPLUNK_HOME$/etc/system/local/props.conf
 [csv]
SHOULD_LINEMERGE = False
pulldown_type = true
CHECK_FOR_HEADER = False  ← TrueからFalseに変更
KV_MODE = none
(2)Splunk再起動
(3)CSVファイルを取込む
Defaultでは、CHECK_FOR_HEADER = Trueとなっています。
csvファイルの一行目をヘッダーとして自動的に取り込まれてtransform.confに追加されます。
Trueの設定では、次回、csvを取込んだ場合、一行目と比較し、同じFormatであれば同じsourcetype名が付けられますが、異なる場合、sourcetype名はcsv-nとなります。

リリース

5.0.1リリース

Splunk5.0.1がリリースされました!
公式サイトからダウンロードが可能です。
5.0をご利用の場合は是非バージョンアップしてご利用ください。

検索

SearchのParformance

Searchを遅くする検索式の一般的な例です。

1.検索式の記述が長すぎる
2.ORが繰り返し指定されている (xx OR yy OR zz OR ….)
3.複雑なSub searchを含んでいる
4.あいまいなフレーズでの範囲指定 (xx > 3)

Searchのチューニングの一般的な例です。

1.基本フィールドの sourcetype, host, source を指定する
2.予め検索の条件が絞れるのであれば指定しておく(時間範囲、Stringなど)
3.検索結果のEvent数をCutする (……. | head 1000)
4.NOTの多用を回避 (NOT field=xx NOT field=yy NOT field=zz)

 

 

開発

ライセンス・バイオレーションについて

一日分のIndex量の超過回数が、5回以上(Enterprise版)または、30日で3回(Free版)となった場合、割り当てられているライセンスボリュームにアサインされているIndexerで、検索ができなくなります。Enterprise版の場合、回復にはリセットライセンスが必要です。 Free版の場合は、再導入か、次の30日で条件を超えなかった場合にリセットされます。

その他

Index量を分けて管理したい場合

Index量を分けて管理したい場合、例えば、複数プロジェクト(部門)で容量制限をかけたい場合などは、
Indexerを分けて、Master、Slaveというライセンス構成にすれば可能です。
例えば、5G/日までのライセンスで、Masterを3G、Slaveを1G, 1Gという構成などで
ライセンス設定をすることができます。

その他

License Matser Down時の動作

ライセンスをMaster/Slaveで分けて管理している場合で、ライセンスMasterが障害でダウンした時、24時間以内に接続できない場合は、Slaveでは検索はできなくなります。
ただし、Indexingは行われます。 その後Masterが復旧した時点で、正常に検索できるようになります。