1イベントの最大サイズ（1行の最大サイズ、最大行数）のデフォルト値と変更方法を以下に記載します

1行の最大サイズについて

1行の最大サイズは、デフォルトでは10000バイトです。

1行が10000バイトを超えるデータは、10001バイト以降が切り捨てられます。

変更する場合はprops.confファイルのTRUNCATEの値を変更します。

設定例

＜対象ファイル＞

ヘビーフォワーダー、（ヘビーフォワーダーを使用していない場合は）インデクサー

$SPLUNK_HOME/etc/apps/<App名>/local/props.conf

または

$SPLUNK_HOME/etc/system/local/props.conf

＜設定内容＞

[test]
TRUNCATE=50000

※1行の最大サイズを、バイト数で指定します。

※TRUNCATE=0を設定することで切り捨てを行わない動作となります。
以下に注意の上、環境に合わせて必要なサイズを指定してください。
注意
1行当たりの文字数が膨大なデータを取り込んだ際にパフォーマンスに影響を与えてしまう可能性があります。

※$SPLUNK_HOMEはインストールディレクトリです。デフォルトでは以下です。

Splunk Enterprise : /opt/splunk
Universal Forwarder : /opt/splunkforwarder

Splunk Enterprise : C:\Program Files\Splunk
Universal Forwarder : C:\Program Files\SplunkUniversalForwarder

設定変更後は、Splunkサービスを再起動してください。

$SPLUNK_HOME/bin/splunk restart

1イベントの最大行数について

1イベントの最大行数はデフォルトでは257行です。
それ以降はイベントが分割されて取り込まれます。

変更する場合はprops.confファイルのMAX_EVENTSの値を変更します。

＜設定例＞

イベントをソースタイプ「test」として取り込み、その最大行数を変更する場合

＜対象ファイル＞

ヘビーフォワーダー、（ヘビーフォワーダーを使用していない場合は）インデクサー

$SPLUNK_HOME/etc/apps/<App名>/local/props.conf

または

$SPLUNK_HOME/etc/system/local/props.conf

＜設定内容＞

[test]
MAX_EVENTS=256

※行数を指定します。上限値はありません。

※設定変更後は、Splunkサービスを再起動してください。

$SPLUNK_HOME/bin/splunk restart

注意事項

TRUNCATE、MAX_EVENTSのいずれも、インデックス処理や検索パフォーマンスへの影響を避けるための制限となります。

変更する際には、実質的に無制限となるような値ではなく、必要なサイズを指定してください。