Archive

手動サーチとアラート結果が異なる

New Member

Lookup tableを使用して手動サーチを行った結果と、同様のサーチコマンド、検索範囲を使用してアラートメールを飛ばした際の結果が異なるのはなぜでしょうか。

0 Karma

Splunk Employee
Splunk Employee

SplunkはUIからの動作も含めてすべてRESTで受けますので、Splunkから見てサーチ文そのものの違いはありません。
そのため、厳密にサーチの条件が完全に一致しているのであれば、ご指摘の現象は起こる可能性はありません。

Jobとしてサーチを処理しますので、Jobに渡されたサーチ文とその期間の範囲等を比較することで原因がわかる可能性があります。
また、limits.confにおける制限値が原因となって、若干の差異が発生しているかもしれません。
joinなどしていれば、その可能性も濃厚なのですが、いずれにせよ、job descriptionあるいはsearch.logにて原因がわかる可能性があります。

0 Karma

Motivator

Can you share the search query you are using and structure of your CSV file?

0 Karma

Motivator

@jawaharas がリクエストしているSearch Queryに加えて、手動サーチ実施時のサーチ時間範囲とアラートを仕掛けた際のサーチ時間範囲をいただければ、ヒントが見えてくると思います。

0 Karma