inputs.confのパラメーターの一つであるignoreOlderThanを設定すると、Splunkはファイルの更新日時が設定された基準時刻よりも古いファイルは取り込まないという動作を行います。

inputs.conf 設定例

[monitor:///var/log/abc/xyz.log]
sourcetype = test
ignoreOlderThan = 1d

なお、ignoreOlderThanで指定した時刻の基準の日時はSplunkのサービスが起動し、上記の設定を反映させた時刻となります。
この基準はSplunkを起動/再起動による設定の読み込み直しが発生しない限り、変わりません。

例えば、2023/6/2 00:00:00に上述のようにignoreOlderThan=1dを設定し、/var/log/abc/xyz.logファイルの更新日時が2023/6/1 00:00:00より前の場合、Splunkへの取り込みの対象から除外されます。

※注意点※

ignoreOlderThanで指定した時間範囲の基準についてはSplunkの再起動を実施したタイミングで再起動を実施した日時に更新されます。
本FAQにて説明した内容の詳細に関しては、後述の参考資料をご確認ください。

設定ファイルの確認方法

inputs.confにて設定した内容が正しく反映されているか確認する場合、以下のコマンドを実行し、設定した内容が表示されるか確認してください。

$SPLUNK_HOME/bin/splunk cmd btool inputs list

※$SPLUNK_HOMEはインストールディレクトリです。デフォルトでは以下です。

＜Linux＞

Splunk Enterprise : /opt/splunk
Universal Forwarder : /opt/splunkforwarder

＜Windows＞

Splunk Enterprise : C:\Program Files\Splunk
Universal Forwarder : C:\Program Files\SplunkUniversalForwarder