1日1回のスケジュールで、全件洗い替えするサマリーインデックスを作成しています。 レポートに対し、「サマリーインデックスの編集」で設定し、「スケジュールの編集」でスケジュール実行されるように設定しています。 savedsearches.conf [si_summary-detail] action.summary_index = 1 action.summary_index._name = summary-detail action.summary_index._type = event cron_schedule = 30 0 * * * enableSched = 1 search = ... SPL ... indexes.conf [summary-detail] frozenTimePeriodInSecs = 43200 quarantinePastSecs = 473385600 maxDataSize = auto_high_volume スケジュール実行した場合、次のコマンドが追加されていました。実行した結果、サマリーインデックスに入るデータが不足しています。 試しに、サーチクエリーを作成し、実行してみましたが、スケジュール実行した場合と同じでした。 2015-03-04T02:17:07Zから2022-06-03T08:57:42Zまでの14,099,234件しかサマリーインデックスに入りません。 | summaryindex spool=t uselb=t addtime=t index="summary-detail" file="summary-detail.stash_new" name="si_summary-detail" marker="" 「file="summary-detail.stash_new"」を除去し、サーチクエリーを実行した場合は、正常な結果が得られました。 2015-03-04T02:17:07Zから2022-08-25T04:01:36Zまでの19,972,598件がサマリーインデックスに入ります。 | summaryindex spool=t uselb=t addtime=t index="summary-detail" name="si_summary-detail" marker="" fileオプションの指定を外すと上手く行くため、[stash_new]スタンザの設定が影響しているのでしょうか? [stash_new]スタンザは、デフォルト設定のままで、変更を加えていません。 サマリーインデックスに全件入れるため、確認すべきポイントがあれば教えてください。
... View more