当該メッセージは、CPUまたはメモリーのいずれかの値がSplunkが推奨する基準を下回っていることを意味しています。 Splunkのドキュメントに掲載されている推奨値は、Splunk社内で十分な検証を実施した上での「最小の推奨値」となります。従いまして、Splunkの推奨値を下回る環境下では、インデックス作成やサーチの性能に大きな影響を及ぼしたり、予期せぬ問題が発生する恐れもあります。 また、推奨値を下回る環境下で発生した問題につきましては、Splunk Supportで対応することができません。Splunk製品を使用される際には、必ずReference hardwareをご確認いただき、推奨値を満たすように設計してください。 <Splunk Enterprise> https://docs.splunk.com/Documentation/Splunk/latest/Capacity/Referencehardware Premium Apps (Enterprise Security や ITSI) をご使用になられている場合には、別途 Apps 側のドキュメントをご参照ください。 <Deployment planning : Enterprise Security> https://docs.splunk.com/Documentation/ES/latest/Install/DeploymentPlanning <Plan your ITSI deployment> https://docs.splunk.com/Documentation/ITSI/latest/Install/Plan ... View more

This issue happens because the stanza name must be unique and two apps cannot define the same alert action. In this case, alet_actions.conf from the app has the precedence. Try setting either one of the below. [Method 1 : Set them up in savedsearches.conf] Set up these in savedsearches.conf as below. savedsearches.conf [mySavedSearch] action.email = 1 action.email.reportCIDFontList = jp action.email.use_ssl = 0 action.email.footer.text = My Footer [Method 2 : Set necessary email stanza settings in alert_actions in the App] Set up necessary settings in email stanza in alert_actions in the App. Please note this setting will affect other Apps. For icon_path, just set file name, no need to put the whole path. For the default icon, copy mod_alert_icon_email.png from the below location to $SPLUNK_HOME/etc/apps/appName/appserver/static/. alert_actions.conf reportCIDFontList = jp use_ssl = 0 footer.text = My Footer ... icon_path = <fileName> ... The location of mod_alert_icon_email.png from where the user needs to copy $SPLUNK_HOME/share/splunk/search_mrsparkle/exposed/img/mod_alert_icon_email.png [Reference] https://docs.splunk.com/Documentation/Splunk/7.2.5/AdvancedDev/CustomAlertConfig  Stanza naming Follow these guidelines when naming the alert action stanza. The stanza name must be unique. Two apps cannot define the same alert action. The stanza name can contain only the following characters. - alphanumeric characters - underscores - hyphens The stanza name cannot contain spaces. savedsearches.conf https://docs.splunk.com/Documentation/Splunk/7.2.5/Admin/Savedsearchesconf alert_actions.conf https://docs.splunk.com/Documentation/Splunk/7.2.5/Admin/Alertactionsconf ... View more

[回答] これはダッシュボードのリフレッシュとpdf エクスポートのタイミングにより発生しております。 ダッシュボードがリフレッシュされるとき、まずダッシュボードのサーチジョブがキャンセルされ、 その後新しいサーチが実行されます。 この現象は、pdfgenがサーチジョブを元にグラフを作成している際に、 ダッシュボードのリフレッシュが発生した場合に発生します。 これはPDF generation の制限となります。(近日中にドキュメントのアップデートを実施する予定となっております。) https://docs.splunk.com/Documentation/Splunk/7.2.3/Viz/DashboardPDFs [回避策] リフレッシュ時間をより長い時間に設定する (タイミングによって本現象が発生する場合はございますが、頻度は少なくなります。) リフレッシュ時間の設定を解除し、リアルタイムサーチを使用する *リアルタイムサーチはよりリソースを使用しますのでご注意ください。 　　　https://docs.splunk.com/Documentation/Splunk/7.2.3/Search/Aboutrealtimesearches [動作] ダッシュボード 0. ダッシュボードのリフレッシュが完了 1. リフレッシュ時間を待機 2. リフレッシュ時間が経過 3. サーチジョブのキャンセル実施(Splunkが有効なサーチを複数持つことを避けるため) 4. 新しいサーチの実行 pdfgen a. サーチジョブ情報の検索 b.検索したサーチジョブ情報を元に、グラフを作成 c. PDFファイル作成完了 ... View more

[Answer] This issue is happening due to the timing of dashboard refresh and pdf export. When a dashboard is due to refresh, it calls cancel of all the dashboard search jobs and request for a fresh run. This issue happens when refresh kicks while pdfgen is still rendering the searches. This is a limitation to PDF generation. (We'll update the document soon.) https://docs.splunk.com/Documentation/Splunk/7.2.3/Viz/DashboardPDFs [Workaround] Change the refresh time to a bigger value (the issue still happens, but the frequency becomes lesser.) Disable the refresh time and change the search to real-time search *Please note real-time search consumes more resources. 　　　　https://docs.splunk.com/Documentation/Splunk/7.2.3/Search/Aboutrealtimesearches [Behavior] dashboard 0. Dashboard is updated. 1. Wait for the refresh time. 2. The refresh time has passed. 3. Change the status of searches to cancel. (To prevent Splunk having 2 valid search results.) 4. Request a new search, and return to 0. pdfgen a. Find all Search IDs for all searches. b. Render the search results using data in the corresponding folders under dispatch. c. PDF is created. ... View more