Knowledge Management

"Enable summary indexing" オプションがバージョン 6.6.0で無効になる

CurryPan
Communicator

Splunkをバージョン 6.6.0にアップグレードした後に、新しい summaryレポートを作成したところ settings -> searches, reports, alerts -> report画面に以前のリリースまで表示されていた "enable summary indexing" オプションが見つかりません。summary indexを有効にする方法をご教示ください。

0 Karma

CurryPan
Communicator

本件は、製品の不具合として報告されており、すでにバージョン 6.6.2 にて修正されております。誠に恐れ入りますが、修正されたリリースにアップグレードしていただくか、下記の回避策にてご対応いただけますようお願いいたします。

  1. summary インデックスを使用するサーチ、レポートもしくはアラートを作成する。
  2. 1 にて作成されましたサーチ、レポートもしくはアラートが含まれる savedsearches.confを開きます。
  3. 当該スタンザの下に、action.summary_index と auto_summarize.dispatch.earliest_time
    の設定を追加してください。

    action.summary_index = true
    auto_summarize.dispatch.earliest_time = 下記のマニュアルを参考に設定してください。
    https://docs.splunk.com/Documentation/Splunk/6.6.0/SearchReference/SearchTimeModifiers

  4. ./bin/splunk _internal call /servicesNS/(ユーザー名)/search/saved/searches/_reload を実行してください。

0 Karma
Register for .conf21 Now! Go Vegas or Go Virtual!

How will you .conf21? You decide! Go in-person in Las Vegas, 10/18-10/21, or go online with .conf21 Virtual, 10/19-10/20.