アラートやレポートによるルックアップテーブルの参照タイミング
- 公開日
- 2016-05-27
- 最終更新日
- 2024-07-01
- バージョン
- Splunk Enterprise 9.0.4
- 概要
- ルックアップテーブルの更新をリアルタイムサーチに反映させる方法を記載します。
- 内容
-
リアルタイムサーチのルックアップテーブル参照タイミング
リアルタイムサーチをアラート/レポートとして利用している場合、参照するルックアップテーブルは最初にリアルタイムサーチを実行した時点のものが参照され続けます。
常に最新のルックアップテーブルをリアルタイムサーチに反映させるためにはupdate=trueオプションが必要になります。
- update=trueオプションがない場合
リアルタイムサーチは初めに参照したルックアップテーブルのみを参照し、それ以後、ルックアップテーブルが更新されてもリアルタイムサーチには反映されません。
サーチ実行例) sourcetype=cc | lookup testlookup zz OUTPUT xx yy
- update=trueオプションがある場合
リアルタイムサーチは常に最新のルックアップテーブルを参照します。
サーチ実行例) sourcetype=cc | lookup update=true testlookup zz OUTPUT xx yy
以上
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
平日 9:00~17:00
