https://community.splunk.com/t5/Deployment-Architecture/Universal-forwarder%E3%81%8C%E3%83%AD%E3%82%B0%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%81%BF%E9%80%81%E4%BF%A1%E3%81%97%E3%81%AA%E3%81%84/m-p/182724#M23474 <P>想定外にinputs.confやprops.confが適用された結果ということはないですか？ソースタイプは何が設定されていて、それはどのような設定ですか？</P> Thu, 19 Dec 2013 01:21:35 GMT HiroshiSatoh 2013-12-19T01:21:35Z https://community.splunk.com/t5/Deployment-Architecture/Universal-forwarder%E3%81%8C%E3%83%AD%E3%82%B0%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%81%BF%E9%80%81%E4%BF%A1%E3%81%97%E3%81%AA%E3%81%84/m-p/182723#M23473 <P>1行1イベントの形式でファイルにログを書き出すプログラムがあります。<BR /> そのファイルをUniversal forwarderにモニタリングさせていますが、1イベントの一部だけしか送信しない場合がが存在します。<BR /> 傾向としてはファイルへの書き込みが頻発すると発生する頻度が高くなる模様です。</P> <P>例として</P> <P>12-18-2013 16:30:05.170 +0900 INFO SavedSplunker - savedsearch_id="nobody;splunk_deployment_monitor;DM indexthru week over week", user="nobody", app="splunk_deployment_monitor", savedsearch_name="DM indexthru week over week", status=success, digest_mode=1, scheduled_time=1387351800, dispatch_time=1387351801, run_time=3.934, result_count=14, alert_actions="", sid="scheduler_<EM>nobody_c3BsdW5rX2RlcGxveW1lbnRfbW9uaXRvcg</EM>_RMD5bf9668d7e0927215_at_1387351800_5675", suppressed=0, thread_id="AlertNotifierWorker-0"</P> <P>のようなイベントがあった場合、</P> <P>edSplunker - savedsearch_id="nobody;splunk_deployment_monitor;DM indexthru week over week", user="nobody</P> <P>のように一部だけがindexerへ送信されてきます。</P> <P>1行づつUniversal forwarderがファイルからイベントを読み込み送信するようにするには、<BR /> どのようにinputs.confやprops.confファイルを編集すればよいでしょか。</P> Mon, 28 Sep 2020 15:30:23 GMT https://community.splunk.com/t5/Deployment-Architecture/Universal-forwarder%E3%81%8C%E3%83%AD%E3%82%B0%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%81%BF%E9%80%81%E4%BF%A1%E3%81%97%E3%81%AA%E3%81%84/m-p/182723#M23473 kuehara 2020-09-28T15:30:23Z https://community.splunk.com/t5/Deployment-Architecture/Universal-forwarder%E3%81%8C%E3%83%AD%E3%82%B0%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%81%BF%E9%80%81%E4%BF%A1%E3%81%97%E3%81%AA%E3%81%84/m-p/182724#M23474 <P>想定外にinputs.confやprops.confが適用された結果ということはないですか？ソースタイプは何が設定されていて、それはどのような設定ですか？</P> Thu, 19 Dec 2013 01:21:35 GMT https://community.splunk.com/t5/Deployment-Architecture/Universal-forwarder%E3%81%8C%E3%83%AD%E3%82%B0%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%81%BF%E9%80%81%E4%BF%A1%E3%81%97%E3%81%AA%E3%81%84/m-p/182724#M23474 HiroshiSatoh 2013-12-19T01:21:35Z https://community.splunk.com/t5/Deployment-Architecture/Universal-forwarder%E3%81%8C%E3%83%AD%E3%82%B0%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%81%BF%E9%80%81%E4%BF%A1%E3%81%97%E3%81%AA%E3%81%84/m-p/182725#M23475 <P>以下のAnswersが参考になるかもしれません。inputs.conf内のtime_before_closeのデフォルト値（３秒）を５から６秒くらいに増やしてみてください。<BR /><BR /> <A href="http://answers.splunk.com/answers/103132/events-are-broken-in-the-middle-of-the-line" target="_blank">http://answers.splunk.com/answers/103132/events-are-broken-in-the-middle-of-the-line</A></P> Mon, 28 Sep 2020 15:31:05 GMT https://community.splunk.com/t5/Deployment-Architecture/Universal-forwarder%E3%81%8C%E3%83%AD%E3%82%B0%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%81%BF%E9%80%81%E4%BF%A1%E3%81%97%E3%81%AA%E3%81%84/m-p/182725#M23475 cwl 2020-09-28T15:31:05Z https://community.splunk.com/t5/Deployment-Architecture/Universal-forwarder%E3%81%8C%E3%83%AD%E3%82%B0%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%81%BF%E9%80%81%E4%BF%A1%E3%81%97%E3%81%AA%E3%81%84/m-p/182726#M23476 <P>kueharaさん、以下の回答内容で問題が解消されましたでしょうか。解消された場合、お手数ですが、回答済みのチェックを入れて頂くことは可能でしょうか。</P> Tue, 28 Jan 2014 14:58:43 GMT https://community.splunk.com/t5/Deployment-Architecture/Universal-forwarder%E3%81%8C%E3%83%AD%E3%82%B0%E3%82%92%E6%AD%A3%E3%81%97%E3%81%8F%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%81%BF%E9%80%81%E4%BF%A1%E3%81%97%E3%81%AA%E3%81%84/m-p/182726#M23476 cwl 2014-01-28T14:58:43Z