「Monitor files and directories」を使って特定のディレクトリに配置したログファイルをインデキシングしているのですが、インデキシング対象のログファイルが破損した場合の対応方法についてお聞きしたいです。
ログファイルが破損して再度インデキシングを行う場合、バックアップしておいたログファイルをモニターしているディレクトリに戻す(コピーする)だけで良いのでしょうか?別に何か設定などの操作を行う必要はあるのでしょうか?
例:test_log1.logというファイルを含む/data/ディレクトリ以下をモニターするようにしていて、このtest_log1.logが破損したときバックアップしておいたものを/dataにコピーしなおすだけで良いのでしょうか?
バックアップからログファイルをコピーした際、イベントデータが重複してインデキシングされてしまうことがありますが、重複インデキシングを回避する方法はあるのでしょうか?(一度インデックス中をcleanしてからコピーし直すなど)
なお、Splunkのバージョンは6.2.5となります。
よろしくお願いいたします。
... View more