1日1回のスケジュールで、全件洗い替えするサマリーインデックスを作成しています。

レポートに対し、「サマリーインデックスの編集」で設定し、「スケジュールの編集」でスケジュール実行されるように設定しています。

savedsearches.conf

[si_summary-detail]
action.summary_index = 1
action.summary_index._name = summary-detail
action.summary_index._type = event
cron_schedule = 30 0 * * *
enableSched = 1
search = ... SPL ...

indexes.conf

[summary-detail]
frozenTimePeriodInSecs = 43200
quarantinePastSecs = 473385600
maxDataSize = auto_high_volume

スケジュール実行した場合、次のコマンドが追加されていました。実行した結果、サマリーインデックスに入るデータが不足しています。

試しに、サーチクエリーを作成し、実行してみましたが、スケジュール実行した場合と同じでした。
2015-03-04T02:17:07Zから2022-06-03T08:57:42Zまでの14,099,234件しかサマリーインデックスに入りません。

| summaryindex spool=t uselb=t addtime=t index="summary-detail" file="summary-detail.stash_new" name="si_summary-detail" marker=""

「file="summary-detail.stash_new"」を除去し、サーチクエリーを実行した場合は、正常な結果が得られました。

2015-03-04T02:17:07Zから2022-08-25T04:01:36Zまでの19,972,598件がサマリーインデックスに入ります。

| summaryindex spool=t uselb=t addtime=t index="summary-detail" name="si_summary-detail" marker=""

fileオプションの指定を外すと上手く行くため、[stash_new]スタンザの設定が影響しているのでしょうか？

[stash_new]スタンザは、デフォルト設定のままで、変更を加えていません。

サマリーインデックスに全件入れるため、確認すべきポイントがあれば教えてください。