Splunk ver. 6.5.0 以降の Splunk サーバーで diagを生成したところ、lookup ファイルがデフォルトで diag内に見つかりません。 これは製品の不具合でしょうか。
diag のヘルプでは表示されますが、v6.5 以降のドキュメントには反映されていないようです。
# splunk diag --help --include-lookups Include lookup files in the etc & pooling components [default: do not gather]
マニュアル http://docs.splunk.com/Documentation/Splunk/6.5.0/Troubleshooting/Generateadiag
Splunk 社の更新を待ちたいですね。
lookup ファイルにはお客様固有の情報が含まれることが多く、以前よりお客様より機能改善要求がされておりました。そう言った声を反映すべく Splunk ver. 6.5.0 よりdiag ファイルを生成する際に、デフォルトで lookup ファイルが含まれない仕様へと変更させていただいております。
diagファイルに lookupファイルを含める場合には、下記のコマンドを実行することで実現が可能です。
splunk diag --include-lookups
