Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question
Solved! Jump to solution

search.logにDEBUG情報を出力させる方法について

cwl
Contributor
‎02-28-2018 12:20 AM

サーチ文を実行したあとにサーチヘッド内の「SPLUNK_HOME/var/run/splunk/dispatch」にsearch artifactのフォルダが生成され、その中にsearch.logがありますが、このsearch.logにDEBUG情報を出力させたいです。
DEBUG情報を出力させる手順を教えていただけますか?

0 Karma
Reply
1 Solution
Solved! Jump to solution
Solution

cwl
Contributor
‎02-28-2018 12:46 AM

search.logにDEBUG情報を出力させるには、以下の2つの方法があります。
1)「SPLUNK_HOME/etc/log-searchprocess.cfg」を編集
DEBUG情報を出力させたいインスタンスに対し、テキストエディタで「SPLUNK_HOME/etc/log-searchprocess.cfg」を開き、rootCategoryの部分を「INFO」から「DEBUG」に変更し、変更内容を保存します。

...
rootCategory=DEBUG,searchprocessAppender
...

DEBUG設定の反映にはインスタンスの再起動は必要ないです。
変更内容の保存後に実行される全てのサーチ文に対し、search.logにDEBUG情報が出力されます。
また、以下のマニュアルにも記載がありますので、あわせてご参照ください。
http://docs.splunk.com/Documentation/Splunk/7.0.2/Troubleshooting/Enabledebuglogging#Enable_debug_lo...

2) 6.6.0以降のバージョンの場合、サーチ文に「| noop log_debug=*」を追加
6.6.0以降のバージョンには新たなDEBUG機能が追加されました。
DEBUG情報を出力させたいサーチ文の最後に「| noop log_debug=*」を追加することにより、そのサーチのsearch.logのみがDEBUG情報が出力されるようになりました。

補足:
search artifactは一定時間を経つとdispatch reaperによって削除されますが、空のsaveファイルを作成することにより、search artifactの削除を防ぐことができます。Linuxの場合、「touch save」コマンドにより、簡単に空のsaveファイルを作成することができます。

View solution in original post

Reply
Solved! Jump to solution
Solution

cwl
Contributor
‎02-28-2018 12:46 AM

search.logにDEBUG情報を出力させるには、以下の2つの方法があります。
1)「SPLUNK_HOME/etc/log-searchprocess.cfg」を編集
DEBUG情報を出力させたいインスタンスに対し、テキストエディタで「SPLUNK_HOME/etc/log-searchprocess.cfg」を開き、rootCategoryの部分を「INFO」から「DEBUG」に変更し、変更内容を保存します。

...
rootCategory=DEBUG,searchprocessAppender
...

DEBUG設定の反映にはインスタンスの再起動は必要ないです。
変更内容の保存後に実行される全てのサーチ文に対し、search.logにDEBUG情報が出力されます。
また、以下のマニュアルにも記載がありますので、あわせてご参照ください。
http://docs.splunk.com/Documentation/Splunk/7.0.2/Troubleshooting/Enabledebuglogging#Enable_debug_lo...

2) 6.6.0以降のバージョンの場合、サーチ文に「| noop log_debug=*」を追加
6.6.0以降のバージョンには新たなDEBUG機能が追加されました。
DEBUG情報を出力させたいサーチ文の最後に「| noop log_debug=*」を追加することにより、そのサーチのsearch.logのみがDEBUG情報が出力されるようになりました。

補足:
search artifactは一定時間を経つとdispatch reaperによって削除されますが、空のsaveファイルを作成することにより、search artifactの削除を防ぐことができます。Linuxの場合、「touch save」コマンドにより、簡単に空のsaveファイルを作成することができます。

Reply
Solved! Jump to solution

p_gurav
Champion
‎02-28-2018 12:35 AM

This link is helpful to you :

https://docs.splunk.com/Documentation/Splunk/7.0.2/Troubleshooting/Enabledebuglogging

0 Karma
Reply
Get Updates on the Splunk Community!

Routing logs with Splunk OTel Collector for Kubernetes

The Splunk Distribution of the OpenTelemetry (OTel) Collector is a product that provides a way to ingest ...

Welcome to the Splunk Community!

(view in My Videos) We're so glad you're here! The Splunk Community is place to connect, learn, give back, and ...

Tech Talk | Elevating Digital Service Excellence: The Synergy of Splunk RUM & APM

Elevating Digital Service Excellence: The Synergy of Real User Monitoring and Application Performance ...