Splunk Search

データのモニター設定で取り込まれない

tonakano
Engager

データの追加で、モニターでディレクトリ指定にしています。
指定したフォルダの中には、同一構成の日付ごとのデータが数か月分格納されています。

インポートを終えて、検索をするのですが、sourceを見ると全ファイルが取り込まれていませんでした。

取り込まれたファイルと取り込まれなかったファイルを比較しましたが、構成、文字コード、改行コードなど特に差分はありませんでした。

取り込めなかったファイルをファイル単位でデータの追加をする分には問題がありません。
読み込みに時間が掛かるのかなと思い、1晩放置しましたが変わりませんでした。
また、設定の”ファイルとディレクトリ”から、モニタしているファイル数を確認すると、増減し、格納ファイル数とも一致するので、フォルダの指定が誤っているわけでもなさそうです。

可能性として、どんな理由がありますでしょうか?

Tags (1)
0 Karma

tonakano
Engager

自己解決しました。

読み込んだデータのヘッダーが悪さをしていたため、SourceTypeを明示的にしていいて、不要なヘッダーを読み込みデータから削除することで動作しました。

0 Karma
Get Updates on the Splunk Community!

Thanks for the Memories! Splunk University, .conf24, and Community Connections

Thank you to everyone in the Splunk Community who joined us for .conf24 – starting with Splunk University and ...

.conf24 | Day 0

Hello Splunk Community! My name is Chris, and I'm based in Canberra, Australia's capital, and I travelled for ...

Enhance Security Visibility with Splunk Enterprise Security 7.1 through Threat ...

 (view in My Videos)Struggling with alert fatigue, lack of context, and prioritization around security ...