Splunk Search

データのモニター設定で取り込まれない

tonakano
Engager

データの追加で、モニターでディレクトリ指定にしています。
指定したフォルダの中には、同一構成の日付ごとのデータが数か月分格納されています。

インポートを終えて、検索をするのですが、sourceを見ると全ファイルが取り込まれていませんでした。

取り込まれたファイルと取り込まれなかったファイルを比較しましたが、構成、文字コード、改行コードなど特に差分はありませんでした。

取り込めなかったファイルをファイル単位でデータの追加をする分には問題がありません。
読み込みに時間が掛かるのかなと思い、1晩放置しましたが変わりませんでした。
また、設定の”ファイルとディレクトリ”から、モニタしているファイル数を確認すると、増減し、格納ファイル数とも一致するので、フォルダの指定が誤っているわけでもなさそうです。

可能性として、どんな理由がありますでしょうか?

Tags (1)
0 Karma

tonakano
Engager

自己解決しました。

読み込んだデータのヘッダーが悪さをしていたため、SourceTypeを明示的にしていいて、不要なヘッダーを読み込みデータから削除することで動作しました。

0 Karma
Get Updates on the Splunk Community!

Accelerate Service Onboarding, Decomposition, Troubleshooting - and more with ITSI’s ...

Accelerate Service Onboarding, Decomposition, Troubleshooting - and more! Faster Time to ValueManaging and ...

New Release | Splunk Enterprise 9.3

Admins and Analyst can benefit from:  Seamlessly route data to your local file system to save on storage ...

2024 Splunk Career Impact Survey | Earn a $20 gift card for participating!

Hear ye, hear ye! The time has come again for Splunk's annual Career Impact Survey!  We need your help by ...