Getting Data In

フォワーダーが全てのログを転送しない

Satoru_Aoyagi
New Member

5分間隔でネットワーク共有エリアに出力されるテキストデータを、フォワーダー経由で転送しているのですが、全てのログが転送されません。
5分間隔で出力されるため、毎日288個のログが取り込まれるはずなのですが、現状は1日30~40個程しか転送されない状況です。
転送されるデータとされないデータで規則性があるわけでもなく、時間、サイズ等は全てまちまちです。
データの内容に違いはありますが、文字コード、データ内容のフォーマットは全て同一です。

どのような原因が考えられますでしょうか。

以下、取り込み方法です。
・Linuxサーバ上で5分毎にローカルディスクへコマンド結果を出力
(上書きではなくファイル名末尾に時間を記載して全て別ファイルとして出力)

・毎日AM1:00にローカルの出力結果をネットワーク共有エリアに差分コピー

・ネットワーク共有エリアをフォワーダー(windowsサーバー)でモニター

0 Karma
1 Solution

to4kawa
Ultra Champion

to4kawa
Ultra Champion

https://qiita.com/odorusatoshi/items/5a703b9befc253ab7deb
こちらを参考に確認してください

Satoru_Aoyagi
New Member

internalを確認したところ、ログの内容が同一とみなされ、別ファイル名でも転送されていないことがわかりました。
crcSalt=をinputs.confに追記し、全てのログが転送されることを確認しました。
ご回答頂きありがとうございました。

0 Karma
Get Updates on the Splunk Community!

New Cloud Intrusion Detection System Add-on for Splunk

In July 2022 Splunk released the Cloud IDS add-on which expanded Splunk capabilities in security and data ...

Happy CX Day to our Community Superheroes!

Happy 10th Birthday CX Day!What is CX Day? It’s a global celebration recognizing innovation and success in the ...

Check out This Month’s Brand new Splunk Lantern Articles

Splunk Lantern is a customer success center providing advice from Splunk experts on valuable data insights, ...