Splunk Search

一度削除したインデックスデータを再度インデックス化したい

snaka
New Member

Forwarder > Indexer の経路でインデックス化したログファイルの情報をForwarderの設定を変更した際にcleanコマンドで消去したところ、かつてのファイルが読み込まれなくなりました。
再度インデックス化する方法はありますでしょうか。

例:
forwarder側
 log、log1、log2、log3、log4・・・(新しい順)
 ↓
indexer側
 log、log1、log2
※以前に削除したlog3、log4がサーチできない。

Tags (3)
0 Karma
1 Solution

cwl
Contributor

一番簡単な方法はoneshotです。

./splunk add oneshot "/path/to/log3.log" -sourcetype mysourcetype

oneshot以外の方法については以下のAnswersの内容が結構参考になります。

How to reindex data from a forwarder

View solution in original post

snaka
New Member

早速の対応ありがとうございます。

最終的な解決はリンク先記事のfishbucketを削除する方法をとりました。
なお、バージョン2.6.1環境ではSplunk本体(indexer)の
fishbucketインデックス名が「_fishbucket」から「_thefishbucket」に
変わっていました。

0 Karma

cwl
Contributor

一番簡単な方法はoneshotです。

./splunk add oneshot "/path/to/log3.log" -sourcetype mysourcetype

oneshot以外の方法については以下のAnswersの内容が結構参考になります。

How to reindex data from a forwarder

Get Updates on the Splunk Community!

Exporting Splunk Apps

Join us on Monday, October 21 at 11 am PT | 2 pm ET!With the app export functionality, app developers and ...

Cisco Use Cases, ITSI Best Practices, and More New Articles from Splunk Lantern

Splunk Lantern is a Splunk customer success center that provides advice from Splunk experts on valuable data ...

Build Your First SPL2 App!

Watch the recording now!.Do you want to SPL™, too? SPL2, Splunk's next-generation data search and preparation ...