indexes.confにFrozenTimePeriodSecsが設定してあり、そこにアーカイブされたデータをサーチすることは可能でしょうか。 一度thawddbに移さないといけないのでしょうか。 ご教示お願い致します。
Hello, Is it possible to search the data which is archived by following FrozenTimePeriodSecs in indexes.conf?
Thank you.
アーカイブされたBucketを再度サーチするには、thaweddbに置く必要があります。 言い換えれば、thaweddbをしているディレクトリの中をSplunkが見に行くので、 設定ファイルないのthaweddbのパスを変更してしまうということも可能です。
http://docs.splunk.com/Documentation/Splunk/latest/Indexer/Restorearchiveddata
View solution in original post
ご回答ありがとうございます。では、thawddbに置くだけでサーチは実行できるという認識で間違いないでしょうか。
