JSON形式のログ検索時フィールドが2重に表示されてしまう場合の回避方法

公開日
2018-06-14
最終更新日
2018-06-14
バージョン
Splunk Enterprise 6.5.2
概要
JSON形式のログ検索時フィールドが2重に表示されてしまう場合の回避方法
参考情報
内容

JSON形式のログを取り込むためのソースタイプにてカスタムでフィールドを定義した場合、取り込んだログファイルを検索した際にフィールドが2重に表示される場合があります。

これはインデックス処理時(データ取り込み時)にフィールドが抽出され、なおかつ、データ検索時にもフィールドが抽出されたために同じフィールドが2重に表示される事が原因として考えられます。

対処方法として、サーチを実行するSplunkサーバーのprops.confファイルに、以下のパラメーターを追記する事で事象の回避が可能です。

設定ファイル

サーチを実行するSplunkサーバーのprops.conf

(設定ファイル例)

$SPLUNK_HOME/etc/system/local/props.conf
$SPLUNK_HOME/etc/apps/<App名>/local/props.conf

※注:デフォルトインストールの場合の$SPLUNK_HOME

Linux:/opt/splunk
Windows:C:\Program Files\splunk

設定内容

[<フィールドが重複しているデータのソースタイプ名>]

KV_MODE = none

<設定例>

[SourcetypeA]

KV_MODE = none

設定ファイル編集後、下記のURLへアクセスし「refresh」ボタンをクリックすることで再起動せずに設定内容を反映させることができます。

http://<SplunkサーバーのIPアドレス>:8000/debug/refresh

以上