Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question
Solved! Jump to solution

search.logにDEBUG情報を出力させる方法について

cwl
Contributor
‎02-28-2018 12:20 AM

サーチ文を実行したあとにサーチヘッド内の「SPLUNK_HOME/var/run/splunk/dispatch」にsearch artifactのフォルダが生成され、その中にsearch.logがありますが、このsearch.logにDEBUG情報を出力させたいです。
DEBUG情報を出力させる手順を教えていただけますか?

0 Karma
Reply
1 Solution
Solved! Jump to solution
Solution

cwl
Contributor
‎02-28-2018 12:46 AM

search.logにDEBUG情報を出力させるには、以下の2つの方法があります。
1)「SPLUNK_HOME/etc/log-searchprocess.cfg」を編集
DEBUG情報を出力させたいインスタンスに対し、テキストエディタで「SPLUNK_HOME/etc/log-searchprocess.cfg」を開き、rootCategoryの部分を「INFO」から「DEBUG」に変更し、変更内容を保存します。

...
rootCategory=DEBUG,searchprocessAppender
...

DEBUG設定の反映にはインスタンスの再起動は必要ないです。
変更内容の保存後に実行される全てのサーチ文に対し、search.logにDEBUG情報が出力されます。
また、以下のマニュアルにも記載がありますので、あわせてご参照ください。
http://docs.splunk.com/Documentation/Splunk/7.0.2/Troubleshooting/Enabledebuglogging#Enable_debug_lo...

2) 6.6.0以降のバージョンの場合、サーチ文に「| noop log_debug=*」を追加
6.6.0以降のバージョンには新たなDEBUG機能が追加されました。
DEBUG情報を出力させたいサーチ文の最後に「| noop log_debug=*」を追加することにより、そのサーチのsearch.logのみがDEBUG情報が出力されるようになりました。

補足:
search artifactは一定時間を経つとdispatch reaperによって削除されますが、空のsaveファイルを作成することにより、search artifactの削除を防ぐことができます。Linuxの場合、「touch save」コマンドにより、簡単に空のsaveファイルを作成することができます。

View solution in original post

Reply
Solved! Jump to solution
Solution

cwl
Contributor
‎02-28-2018 12:46 AM

search.logにDEBUG情報を出力させるには、以下の2つの方法があります。
1)「SPLUNK_HOME/etc/log-searchprocess.cfg」を編集
DEBUG情報を出力させたいインスタンスに対し、テキストエディタで「SPLUNK_HOME/etc/log-searchprocess.cfg」を開き、rootCategoryの部分を「INFO」から「DEBUG」に変更し、変更内容を保存します。

...
rootCategory=DEBUG,searchprocessAppender
...

DEBUG設定の反映にはインスタンスの再起動は必要ないです。
変更内容の保存後に実行される全てのサーチ文に対し、search.logにDEBUG情報が出力されます。
また、以下のマニュアルにも記載がありますので、あわせてご参照ください。
http://docs.splunk.com/Documentation/Splunk/7.0.2/Troubleshooting/Enabledebuglogging#Enable_debug_lo...

2) 6.6.0以降のバージョンの場合、サーチ文に「| noop log_debug=*」を追加
6.6.0以降のバージョンには新たなDEBUG機能が追加されました。
DEBUG情報を出力させたいサーチ文の最後に「| noop log_debug=*」を追加することにより、そのサーチのsearch.logのみがDEBUG情報が出力されるようになりました。

補足:
search artifactは一定時間を経つとdispatch reaperによって削除されますが、空のsaveファイルを作成することにより、search artifactの削除を防ぐことができます。Linuxの場合、「touch save」コマンドにより、簡単に空のsaveファイルを作成することができます。

Reply
Solved! Jump to solution

p_gurav
Champion
‎02-28-2018 12:35 AM

This link is helpful to you :

https://docs.splunk.com/Documentation/Splunk/7.0.2/Troubleshooting/Enabledebuglogging

0 Karma
Reply
Get Updates on the Splunk Community!

Observability Unveiled: Navigating OpenTelemetry's Framework and Deployment Options

Observability Unveiled: Navigating OpenTelemetry's Framework and Deployment Options A recent Tech Talk, ...

Observability | How to Think About Instrumentation Overhead (White Paper)

Novice observability practitioners are often overly obsessed with performance. They might approach ...

Cloud Platform | Get Resiliency in the Cloud Event (Register Now!)

IDC Report: Enterprises Gain Higher Efficiency and Resiliency With Migration to Cloud  Today many enterprises ...