ローテートするログの取り込み設定方法
- 公開日
- 2015-05-07
- 最終更新日
- 2015-05-07
- バージョン
- Splunk Enterprise 6.0.1
- 概要
- ローテーションするログの取り込み設定方法について
- 参考情報
- 内容
-
Splunkは監視対象であるデータが取り込み済みかどうか、データのハッシュ値を見て判断しています。
ログがローテートされ圧縮形式に変換されるとハッシュ値が変わるため、Splunkは既に取り込み済みのデータでも新しいデータであると認識し、再度取り込みを行います。
ローテートしたファイルが圧縮形式になり、またローテートされたファイルが監視対象ディレクトリに含まれている場合、イベントの重複取り込みが発生する恐れがあります。
この場合、whitelistやblacklistの設定を行い、ローテートされたファイルを監視対象から除外することが可能です。
※whitelistとblacklist設定について
- whitelist:指定した文字列を含むファイル名のみ取り込みを行う
- blacklist:指定した文字列を含まないファイル名のみ取り込みを行う
特定のファイルを検索対象から除外する設定について
【whitelistにて特定のファイルのみ取り込み対象とする設定手順】
- 以下の設定ファイルを編集します。
$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
[monitor://<監視対象ディレクトリおよびファイルのパス等>]
whitelist = \.log$※whitelistに取り込み対象を指定する正規表現を設定します。
- Splunkサービスを再起動します。
【blacklistにて特定のファイルのみ取り込み対象から除外する設定手順】
- 以下の設定ファイルを編集します。
$SPLUNK_HOME/etc/<任意のapp>/local/inputs.conf
[monitor://<監視対象ディレクトリおよびファイルのパス等>]
blacklist = \.gz$※blacklistに取り込み除外対象を指定する正規表現を設定します。
- Splunkサービスを再起動します。
以上
"
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
平日 9:00~17:00