Forwarder > Indexer の経路でインデックス化したログファイルの情報をForwarderの設定を変更した際にcleanコマンドで消去したところ、かつてのファイルが読み込まれなくなりました。 再度インデックス化する方法はありますでしょうか。
例: forwarder側 log、log1、log2、log3、log4・・・(新しい順) ↓ indexer側 log、log1、log2 ※以前に削除したlog3、log4がサーチできない。
一番簡単な方法はoneshotです。
./splunk add oneshot "/path/to/log3.log" -sourcetype mysourcetype
oneshot以外の方法については以下のAnswersの内容が結構参考になります。
How to reindex data from a forwarder
View solution in original post
早速の対応ありがとうございます。
最終的な解決はリンク先記事のfishbucketを削除する方法をとりました。 なお、バージョン2.6.1環境ではSplunk本体(indexer)の fishbucketインデックス名が「_fishbucket」から「_thefishbucket」に 変わっていました。
