Splunk Search

文字コードの設定に関して

tonakano
Engager

日本語(UTF-8)と数字や日付情報が入り混じった情報を読み込んでいます。
読み込みのChar-setは、AUTOを指定にしています。

読み込んだ結果を見ると問題なく、日本語が見えるのですが、何らかの検索をすると途端に表示が別の文字コードで変換され読めなくなります。(\xB7といったコード値に変わってしまいます。)
何度かインデックスを削除し、読み込み直しもしましたが結果が一緒でした。

読み込むファイルをSJISに保存しなおすと問題は発生しなくなるのは確認したのですが、クラウドから定期的にDLするデータであるため都度都度文字コードを変えるのは運用上現実的ではないと考えています。

何か対策はありますでしょうか?
(CHAR-SETを明示的にUTF-8にもしてみましたが、結果は変わりませんでした。)

0 Karma

to4kawa
Ultra Champion

props.conf は提示できますか?

0 Karma

tonakano
Engager

コメントありがとうございます。
props.confはいじろうと思ったのですが、CHARSETに関しては、defalutでAUTO指定されていて、それ以外だと特に指定が無かったので、問題ないのかなと思っていました。
何か変更すべき項目などありますでしょうか?
※Ver8.01インストール後変更をしていません。
※2:ちょっと外部にいるもので、ファイルが直接参照できず、貼り付けることが今週は難しい状況です。。

0 Karma

to4kawa
Ultra Champion

porps.conf が知りたかったのはログが提示されてないので、状態が知りたかっただけです

splunkというより、まずはログがどうなってるのかが大事で、エディタで生ログを開いたとき文字コードがバラバラだったりすると一手間かけないと難しいでしょう

0 Karma
Get Updates on the Splunk Community!

.conf24 | Day 0

Hello Splunk Community! My name is Chris, and I'm based in Canberra, Australia's capital, and I travelled for ...

Enhance Security Visibility with Splunk Enterprise Security 7.1 through Threat ...

 (view in My Videos)Struggling with alert fatigue, lack of context, and prioritization around security ...

Troubleshooting the OpenTelemetry Collector

  In this tech talk, you’ll learn how to troubleshoot the OpenTelemetry collector - from checking the ...