6.5.2を使っていますが、昨日まで速く実行できたサーチでも、今日になって急に遅くなりました。 事象の特定としては、 1. サーチは、どのユーザから実行しても遅くなっている。 2. ブラウザのキャッシュを削除してからでも、サーチは遅い。 3. 他のクライアント端末のブラウザから実行してみても、サーチは遅い。 4. index=_internalのような簡単なサーチを実行しても、以前よりかなり遅くなっている。
何か考えられる理由はありますか?
サーチを実行した後に、「ジョブ」->「ジョブの調査」から「サーチジョブ調査」画面を開いてみてください。 「command.search.typer」の値は、以前より大幅に大きくなっている場合、大きなevent typeが作成されている可能性があります。 Linuxの場合、findコマンドでファイルサイズの大きい「eventtype.conf」がないかを確認してみてください。 ファイルサイズの大きいeventtype.confが存在することを確認できた場合、サーチヘッドを停止し、一時的に当該eventtype.confをSPLUNK_HOME以外のフォルダに移動してから、事象が改善されるかを確認してみてください。 なお、「command.search.typer」の詳細情報についてですが、以下のマニュアルから確認できます。 http://docs.splunk.com/Documentation/Splunk/latest/Search/ViewsearchjobpropertieswiththeJobInspector... http://docs.splunk.com/Documentation/Splunk/latest/Knowledge/Abouteventtypes#How_event_types_work
View solution in original post
