- Splunk Answers
- :
- Using Splunk
- :
- Splunk Search
- :
- removeコマンド実行時の挙動について
- Subscribe to RSS Feed
- Mark Topic as New
- Mark Topic as Read
- Float this Topic for Current User
- Bookmark Topic
- Subscribe to Topic
- Mute Topic
- Printer Friendly Page
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
GUI上でインデックスをデフォルトで作成し、インデックス内のデータ有無に関わらず
以下のパターンで削除を実行した場合に挙動に違いがありました。
【インデックスの作成】
「Search」app以外のappの管理画面(例:http://hostname:8000/ja-JP/manager/launcher/data/indexes)から
インデックスを作成。(インデックス名以外設定値はデフォルト)
【インデックス削除パターン1】
・GUIから[削除]アクションを実行してしてインデックスを削除
・Splunkを起動させたままCLIでsplunk remove index
【インデックス削除パターン2】
・Splunkを停止させた後、CLIでsplunk remove index
パターン1のどちらかでインデックスを削除した場合は、GUI画面上・対象app配下にあるindexes.confから
対象インデックスが削除されたことを確認しましたが、パターン2を実行した場合、
データベースは削除されますがindexes.confから対象インデックスの情報が削除されず、
GUI画面上にも表示されたままとなってしまいます。
その状態でGUIから[削除]アクションを実行すると
「Error occurred attempting to remove
が表示されインデックスがGUI上から削除できなくなります。
(indexes.confで直接設定情報を削除してsplunkを再起動すれば削除されます。)
なお、インデックス作成時に「Search」appの管理画面の場合には、
上記の削除パターンすべてで正常に削除されることを確認できました。
こちらのパターン2の挙動は仕様となるのでしょうか。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
少し自分の環境で確認してみたのですが、
Splunkを停止した後に、remove index
[test]
coldPath = $SPLUNK_DB/test/colddb
homePath = $SPLUNK_DB/test/db
thawedPath = $SPLUNK_DB/test/thaweddb
deleted = true
disabled = true
という形で、deletedとdisabledというパラメータが追加されるようです。
これらの意味は、
$SPLUNK_HOME/etc/system/README/indexes.conf.spec
ファイル内に記載されてました。
disabled = true|false
* Toggles your index entry off and on.
* Set to true to disable an index.
* Defaults to false.
deleted = true
* If present, means that this index has been marked for deletion: if splunkd is running,
deletion is in progress; if splunkd is stopped, deletion will re-commence on startup.
* Normally absent, hence no default.
* Do NOT manually set, clear, or modify value of this parameter.
* Seriously: LEAVE THIS PARAMETER ALONE.
このフラグが付いていると、GUIからエントリーがあった場合でも、ご確認されたエラーが帰ってくるようです。
…エンハンスメントしてほしい箇所ではありますね…
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
少し自分の環境で確認してみたのですが、
Splunkを停止した後に、remove index
[test]
coldPath = $SPLUNK_DB/test/colddb
homePath = $SPLUNK_DB/test/db
thawedPath = $SPLUNK_DB/test/thaweddb
deleted = true
disabled = true
という形で、deletedとdisabledというパラメータが追加されるようです。
これらの意味は、
$SPLUNK_HOME/etc/system/README/indexes.conf.spec
ファイル内に記載されてました。
disabled = true|false
* Toggles your index entry off and on.
* Set to true to disable an index.
* Defaults to false.
deleted = true
* If present, means that this index has been marked for deletion: if splunkd is running,
deletion is in progress; if splunkd is stopped, deletion will re-commence on startup.
* Normally absent, hence no default.
* Do NOT manually set, clear, or modify value of this parameter.
* Seriously: LEAVE THIS PARAMETER ALONE.
このフラグが付いていると、GUIからエントリーがあった場合でも、ご確認されたエラーが帰ってくるようです。
…エンハンスメントしてほしい箇所ではありますね…
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
ちなみに、5.0.3で確認しました。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
答えになってなくて大変すみませんが、不具合の可能性があります。
サポートケースを登録すれば、Splunkサポートが詳細に確認してくれるはずです。
- Mark as New
- Bookmark Message
- Subscribe to Message
- Mute Message
- Subscribe to RSS Feed
- Permalink
- Report Inappropriate Content
環境はWindows Server 2008、splunk5.0.2 です。
.conf24 | Registration Open!
ICYMI - Check out the latest releases of Splunk Edge Processor
Introducing the 2024 SplunkTrust!
