Splunk Search

急に全てのサーチが遅くなりました

cwl
Contributor

6.5.2を使っていますが、昨日まで速く実行できたサーチでも、今日になって急に遅くなりました。
事象の特定としては、
1. サーチは、どのユーザから実行しても遅くなっている。
2. ブラウザのキャッシュを削除してからでも、サーチは遅い。
3. 他のクライアント端末のブラウザから実行してみても、サーチは遅い。
4. index=_internalのような簡単なサーチを実行しても、以前よりかなり遅くなっている。

何か考えられる理由はありますか?

0 Karma
1 Solution

cwl
Contributor

サーチを実行した後に、「ジョブ」->「ジョブの調査」から「サーチジョブ調査」画面を開いてみてください。
「command.search.typer」の値は、以前より大幅に大きくなっている場合、大きなevent typeが作成されている可能性があります。
Linuxの場合、findコマンドでファイルサイズの大きい「eventtype.conf」がないかを確認してみてください。
ファイルサイズの大きいeventtype.confが存在することを確認できた場合、サーチヘッドを停止し、一時的に当該eventtype.confをSPLUNK_HOME以外のフォルダに移動してから、事象が改善されるかを確認してみてください。
なお、「command.search.typer」の詳細情報についてですが、以下のマニュアルから確認できます。
http://docs.splunk.com/Documentation/Splunk/latest/Search/ViewsearchjobpropertieswiththeJobInspector...
http://docs.splunk.com/Documentation/Splunk/latest/Knowledge/Abouteventtypes#How_event_types_work

View solution in original post

0 Karma

cwl
Contributor

サーチを実行した後に、「ジョブ」->「ジョブの調査」から「サーチジョブ調査」画面を開いてみてください。
「command.search.typer」の値は、以前より大幅に大きくなっている場合、大きなevent typeが作成されている可能性があります。
Linuxの場合、findコマンドでファイルサイズの大きい「eventtype.conf」がないかを確認してみてください。
ファイルサイズの大きいeventtype.confが存在することを確認できた場合、サーチヘッドを停止し、一時的に当該eventtype.confをSPLUNK_HOME以外のフォルダに移動してから、事象が改善されるかを確認してみてください。
なお、「command.search.typer」の詳細情報についてですが、以下のマニュアルから確認できます。
http://docs.splunk.com/Documentation/Splunk/latest/Search/ViewsearchjobpropertieswiththeJobInspector...
http://docs.splunk.com/Documentation/Splunk/latest/Knowledge/Abouteventtypes#How_event_types_work

0 Karma
Get Updates on the Splunk Community!

Using Machine Learning for Hunting Security Threats

WATCH NOW Seeing the exponential hike in global cyber threat spectrum, organizations are now striving more for ...

New Learning Videos on Topics Most Requested by You! Plus This Month’s New Splunk ...

Splunk Lantern is a customer success center that provides advice from Splunk experts on valuable data ...

How I Instrumented a Rust Application Without Knowing Rust

As a technical writer, I often have to edit or create code snippets for Splunk's distributions of ...