Splunk Search

長いサーチの実行でunknown sidエラーが表示される

cwl
Contributor

UI から、完了するまでに時間がかかる(3時間ほど)サーチを実行したところ、サーチ自体は完了せずに Unknown sid エラーが表示されました。また、この状態で Job Inspector の画面を表示しますと 500 Internal Server Error が表示され、画面内にも Unknown sid エラーが表示されました。

但し、全く同じサーチをCLIで実行したところ、問題なく完了しましたが、UIで実行できる方法はありますでしょうか。

Tags (2)
1 Solution

cwl
Contributor

Unknown sid エラーが表示された理由は、長時間 UI 側で操作がないため、タイムアウトに引っかかり、サーチがキャンセルされ、search artifact が削除されたためです。

どうしても UI で実行したい場合、以下の何れかの方法でできます。

  1. サーチを実行した後に「ジョブ」>「ジョブをバックグラウンドに送る」を選択し、サーチをバックグラウンドで実行する。
  2. 長時間 UI 側で操作がないときにタイムアウトする機能を無効( web.conf 内の ui_inactivity_timeout を 0 に設定)にする。

View solution in original post

cwl
Contributor

Unknown sid エラーが表示された理由は、長時間 UI 側で操作がないため、タイムアウトに引っかかり、サーチがキャンセルされ、search artifact が削除されたためです。

どうしても UI で実行したい場合、以下の何れかの方法でできます。

  1. サーチを実行した後に「ジョブ」>「ジョブをバックグラウンドに送る」を選択し、サーチをバックグラウンドで実行する。
  2. 長時間 UI 側で操作がないときにタイムアウトする機能を無効( web.conf 内の ui_inactivity_timeout を 0 に設定)にする。
Get Updates on the Splunk Community!

Index This | I am a number, but when you add ‘G’ to me, I go away. What number am I?

March 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with another ...

What’s New in Splunk App for PCI Compliance 5.3.1?

The Splunk App for PCI Compliance allows customers to extend the power of their existing Splunk solution with ...

Extending Observability Content to Splunk Cloud

Register to join us !   In this Extending Observability Content to Splunk Cloud Tech Talk, you'll see how to ...