1イベントの最大サイズとその変更方法

公開日
2015-08-03
最終更新日
2018-07-20
バージョン
Splunk Enterprise 6.2.4
概要
1イベントの最大サイズ(1行の最大サイズ、最大行数)のデフォルト値と変更方法について
参考情報
内容

1イベントの最大サイズ(1行の最大サイズ、最大行数)のデフォルト値と変更方法を以下に記載します

1行の最大サイズについて

1行の最大サイズは、デフォルトでは10000バイトです。

1行が10000バイトを超えるデータは、10001バイト以降が切り捨てられます。

変更する場合はprops.confファイルのTRUNCATEの値を変更します。

<設定例>

イベントをソースタイプtestとして取り込む場合

$SPLUNK_HOME/etc/<任意のApp>/local/props.conf

[test]
TRUNCATE=50000

※1イベントの最大サイズを、バイト数で指定します。

※$SPLUNK_HOMEはSplunkのインストールディレクトリです。

※<任意のApp>
システム共通の場合:system
サーチとレポートAppの場合 :apps/search

1イベントの最大行数について

1イベントの最大行数はデフォルトでは256行です。

それ以降はイベントが分割されて取り込まれます。

変更する場合はprops.confファイルのMAX_EVENTSの値を変更します。

<設定例>

イベントをソースタイプtestとして取り込む場合

$SPLUNK_HOME/etc/<任意のApp>/local/props.conf

[test]
MAX_EVENTS=256

※行数を指定します。

※$SPLUNK_HOMEはSplunkのインストールディレクトリです。

※<任意のApp>
システム共通の場合:system
サーチとレポートAppの場合 :apps/search

注意事項

これらの制限はインデックス処理や検索パフォーマンスへの影響を避けるための制限となります。

変更される場合には、実質的に無制限となるような値ではなく、必要なサイズを指定してください。

以上