Splunk Search

search.logにDEBUG情報を出力させる方法について

cwl
Contributor

サーチ文を実行したあとにサーチヘッド内の「SPLUNK_HOME/var/run/splunk/dispatch」にsearch artifactのフォルダが生成され、その中にsearch.logがありますが、このsearch.logにDEBUG情報を出力させたいです。
DEBUG情報を出力させる手順を教えていただけますか?

0 Karma
1 Solution

cwl
Contributor

search.logにDEBUG情報を出力させるには、以下の2つの方法があります。
1)「SPLUNK_HOME/etc/log-searchprocess.cfg」を編集
DEBUG情報を出力させたいインスタンスに対し、テキストエディタで「SPLUNK_HOME/etc/log-searchprocess.cfg」を開き、rootCategoryの部分を「INFO」から「DEBUG」に変更し、変更内容を保存します。

...
rootCategory=DEBUG,searchprocessAppender
...

DEBUG設定の反映にはインスタンスの再起動は必要ないです。
変更内容の保存後に実行される全てのサーチ文に対し、search.logにDEBUG情報が出力されます。
また、以下のマニュアルにも記載がありますので、あわせてご参照ください。
http://docs.splunk.com/Documentation/Splunk/7.0.2/Troubleshooting/Enabledebuglogging#Enable_debug_lo...

2) 6.6.0以降のバージョンの場合、サーチ文に「| noop log_debug=*」を追加
6.6.0以降のバージョンには新たなDEBUG機能が追加されました。
DEBUG情報を出力させたいサーチ文の最後に「| noop log_debug=*」を追加することにより、そのサーチのsearch.logのみがDEBUG情報が出力されるようになりました。

補足:
search artifactは一定時間を経つとdispatch reaperによって削除されますが、空のsaveファイルを作成することにより、search artifactの削除を防ぐことができます。Linuxの場合、「touch save」コマンドにより、簡単に空のsaveファイルを作成することができます。

View solution in original post

cwl
Contributor

search.logにDEBUG情報を出力させるには、以下の2つの方法があります。
1)「SPLUNK_HOME/etc/log-searchprocess.cfg」を編集
DEBUG情報を出力させたいインスタンスに対し、テキストエディタで「SPLUNK_HOME/etc/log-searchprocess.cfg」を開き、rootCategoryの部分を「INFO」から「DEBUG」に変更し、変更内容を保存します。

...
rootCategory=DEBUG,searchprocessAppender
...

DEBUG設定の反映にはインスタンスの再起動は必要ないです。
変更内容の保存後に実行される全てのサーチ文に対し、search.logにDEBUG情報が出力されます。
また、以下のマニュアルにも記載がありますので、あわせてご参照ください。
http://docs.splunk.com/Documentation/Splunk/7.0.2/Troubleshooting/Enabledebuglogging#Enable_debug_lo...

2) 6.6.0以降のバージョンの場合、サーチ文に「| noop log_debug=*」を追加
6.6.0以降のバージョンには新たなDEBUG機能が追加されました。
DEBUG情報を出力させたいサーチ文の最後に「| noop log_debug=*」を追加することにより、そのサーチのsearch.logのみがDEBUG情報が出力されるようになりました。

補足:
search artifactは一定時間を経つとdispatch reaperによって削除されますが、空のsaveファイルを作成することにより、search artifactの削除を防ぐことができます。Linuxの場合、「touch save」コマンドにより、簡単に空のsaveファイルを作成することができます。

p_gurav
Champion
0 Karma
Get Updates on the Splunk Community!

Take Your Breath Away with Splunk Risk-Based Alerting (RBA)

WATCH NOW!The Splunk Guide to Risk-Based Alerting is here to empower your SOC like never before. Join Haylee ...

Industry Solutions for Supply Chain and OT, Amazon Use Cases, Plus More New Articles ...

Splunk Lantern is a Splunk customer success center that provides advice from Splunk experts on valuable data ...

Enterprise Security Content Update (ESCU) | New Releases

In November, the Splunk Threat Research Team had one release of new security content via the Enterprise ...