シフトJIS形式のログファイルを取り込むためには、あらかじめエンコーディング種類を指定する設定ファイルを作成する必要があります。

• まず、取り込むログファイルに設定予定の「ソースタイプ」を決めます。例えば、Webアプリケーションであれば、「webapp」のようにします。
• Splunkのインストールフォルダ以下の「system\local」フォルダに、「props.conf」ファイルを作成し、次のように入力します。
  [webapp]
  CHARSET=SHIFT-JIS
  ※上記の設定は、ソースタイプに、webappと指定されたファイルを読み込む際SHIFT-JISから内部処理に利用するUTF-8へ明示的に変換を行う事を示しています。同様に、EUC-JPのログファイルの場合、CHARSET=EUC-JP とします。
• props.confで設定を入力してから、Splunkの再起動、もしくは、検索コマンド「| extract reload=t」にて、上記の設定を反映させてください。
  ※直接 props.conf を編集した際に、「| extract reload=t」を検索コマンドとして入力して検索する事で、設定ファイルが読み込まれ、反映されます。
• Splunkの管理画面、データ入力にてログファイルを指定する際に、「ソースタイプのセット」にて【手動】を選択します。そして「ソースタイプ」には、上記のprops.confにて指定したソースタイプを入力します。この例では、「webapp」と入力します。

なお、上記の設定がされていない状態で取り込んだために発生した文字化けは解消されません。お手数ですが、再度、イベントを取り込んでいただく必要があります。