Solved: 圧縮ファイルをmonitoringしていると重複イベントがインデックスされる

cwl · ‎09-29-2015

Splunk 6.2.3を使い、複数ディレクトリ内にある複数のgzファイルをmonitoringしていますが、このSplunkインスタンスを再起動すると既にインデックス済みのgzファイルの内容がもう一度インデックスされてしまいます。回避策や原因が分かる方いらっしゃいますか？

cwl · ‎09-30-2015

ArchiveProcessorがgzファイルを読み込んでいる最中にSplunkを再起動すると、重複したイベントがインデックスされる可能性があります。回避策としては、gzファイルを解凍した状態でmonitoringすることです。

View solution in original post

cwl · ‎09-30-2015

ArchiveProcessorがgzファイルを読み込んでいる最中にSplunkを再起動すると、重複したイベントがインデックスされる可能性があります。回避策としては、gzファイルを解凍した状態でmonitoringすることです。

cwl · ‎10-02-2015

もうちょっと詳しく説明しますと、圧縮ファイルの全体を読み込み、parsingQueueに渡すまでArchiveProcessorはfishbucketにレコードを追加しないので、ArchiveProcessorが圧縮ファイルを読み込んでいる最中にSplunkを再起動すると、fishbucketにレコードが追加されなかった圧縮ファイルの内容が再インデックスされてしまいます。

darrenfuller · ‎09-30-2015

the data will not be reindexed on restart. Splunk keeps track of the files it has imported into the system and this tracking survives restart

darrenfuller · ‎09-30-2015

Splunk will keep track of the files it has already indexed, restarting the system will not cause the data to be re-indexed.

圧縮ファイルをmonitoringしていると重複イベントがインデックスされる

.conf24 | Registration Open!

ICYMI - Check out the latest releases of Splunk Edge Processor

Introducing the 2024 SplunkTrust!