Archive
Highlighted

search.logにDEBUG情報を出力させる方法について

Contributor

サーチ文を実行したあとにサーチヘッド内の「SPLUNK_HOME/var/run/splunk/dispatch」にsearch artifactのフォルダが生成され、その中にsearch.logがありますが、このsearch.logにDEBUG情報を出力させたいです。
DEBUG情報を出力させる手順を教えていただけますか?

0 Karma
Highlighted

Re: search.logにDEBUG情報を出力させる方法について

Champion
0 Karma
Highlighted

Re: search.logにDEBUG情報を出力させる方法について

Contributor

search.logにDEBUG情報を出力させるには、以下の2つの方法があります。
1)「SPLUNKHOME/etc/log-searchprocess.cfg」を編集
DEBUG情報を出力させたいインスタンスに対し、テキストエディタで「SPLUNK
HOME/etc/log-searchprocess.cfg」を開き、rootCategoryの部分を「INFO」から「DEBUG」に変更し、変更内容を保存します。

...
rootCategory=DEBUG,searchprocessAppender
...

DEBUG設定の反映にはインスタンスの再起動は必要ないです。
変更内容の保存後に実行される全てのサーチ文に対し、search.logにDEBUG情報が出力されます。
また、以下のマニュアルにも記載がありますので、あわせてご参照ください。
http://docs.splunk.com/Documentation/Splunk/7.0.2/Troubleshooting/Enabledebuglogging#Enable_debug_lo...

2) 6.6.0以降のバージョンの場合、サーチ文に「| noop logdebug=*」を追加
6.6.0以降のバージョンには新たなDEBUG機能が追加されました。
DEBUG情報を出力させたいサーチ文の最後に「| noop log
debug=*」を追加することにより、そのサーチのsearch.logのみがDEBUG情報が出力されるようになりました。

補足:
search artifactは一定時間を経つとdispatch reaperによって削除されますが、空のsaveファイルを作成することにより、search artifactの削除を防ぐことができます。Linuxの場合、「touch save」コマンドにより、簡単に空のsaveファイルを作成することができます。

View solution in original post