Universal forwarderがログを正しく読み込み送信しない

kuehara · ‎12-17-2013

1行1イベントの形式でファイルにログを書き出すプログラムがあります。
そのファイルをUniversal forwarderにモニタリングさせていますが、1イベントの一部だけしか送信しない場合がが存在します。
傾向としてはファイルへの書き込みが頻発すると発生する頻度が高くなる模様です。

例として

12-18-2013 16:30:05.170 +0900 INFO SavedSplunker - savedsearch_id="nobody;splunk_deployment_monitor;DM indexthru week over week", user="nobody", app="splunk_deployment_monitor", savedsearch_name="DM indexthru week over week", status=success, digest_mode=1, scheduled_time=1387351800, dispatch_time=1387351801, run_time=3.934, result_count=14, alert_actions="", sid="scheduler_nobody_c3BsdW5rX2RlcGxveW1lbnRfbW9uaXRvcg_RMD5bf9668d7e0927215_at_1387351800_5675", suppressed=0, thread_id="AlertNotifierWorker-0"

のようなイベントがあった場合、

edSplunker - savedsearch_id="nobody;splunk_deployment_monitor;DM indexthru week over week", user="nobody

のように一部だけがindexerへ送信されてきます。

1行づつUniversal forwarderがファイルからイベントを読み込み送信するようにするには、
どのようにinputs.confやprops.confファイルを編集すればよいでしょか。

cwl · ‎01-28-2014

kueharaさん、以下の回答内容で問題が解消されましたでしょうか。解消された場合、お手数ですが、回答済みのチェックを入れて頂くことは可能でしょうか。

cwl · ‎12-18-2013

以下のAnswersが参考になるかもしれません。inputs.conf内のtime_before_closeのデフォルト値（３秒）を５から６秒くらいに増やしてみてください。

http://answers.splunk.com/answers/103132/events-are-broken-in-the-middle-of-the-line

HiroshiSatoh · ‎12-18-2013

想定外にinputs.confやprops.confが適用された結果ということはないですか？ソースタイプは何が設定されていて、それはどのような設定ですか？

Universal forwarderがログを正しく読み込み送信しない

Join Us for Splunk University and Get Your Bootcamp Game On!

.conf24 | Learning Tracks for Security, Observability, Platform, and Developers!

Announcing Scheduled Export GA for Dashboard Studio