Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

データのモニター設定で取り込まれない

tonakano
Engager
‎03-10-2020 11:15 PM

データの追加で、モニターでディレクトリ指定にしています。
指定したフォルダの中には、同一構成の日付ごとのデータが数か月分格納されています。

インポートを終えて、検索をするのですが、sourceを見ると全ファイルが取り込まれていませんでした。

取り込まれたファイルと取り込まれなかったファイルを比較しましたが、構成、文字コード、改行コードなど特に差分はありませんでした。

取り込めなかったファイルをファイル単位でデータの追加をする分には問題がありません。
読み込みに時間が掛かるのかなと思い、1晩放置しましたが変わりませんでした。
また、設定の”ファイルとディレクトリ”から、モニタしているファイル数を確認すると、増減し、格納ファイル数とも一致するので、フォルダの指定が誤っているわけでもなさそうです。

可能性として、どんな理由がありますでしょうか?

Tags (1)
0 Karma
Reply

tonakano
Engager
‎03-12-2020 02:52 AM

自己解決しました。

読み込んだデータのヘッダーが悪さをしていたため、SourceTypeを明示的にしていいて、不要なヘッダーを読み込みデータから削除することで動作しました。

0 Karma
Reply
Get Updates on the Splunk Community!

Observability | Use Synthetic Monitoring for Website Metadata Verification

If you are on Splunk Observability Cloud, you may already have Synthetic Monitoringin your observability ...

More Ways To Control Your Costs With Archived Metrics | Register for Tech Talk

Tuesday, May 14, 2024  |  11AM PT / 2PM ET Register to Attend Join us for this Tech Talk and learn how to ...

.conf24 | Personalize your .conf experience with Learning Paths!

Personalize your .conf24 Experience Learning paths allow you to level up your skill sets and dive deeper ...