１．add oneshotコマンドで元データ（ログファイル）の再取り込み

イベントが欠損した場合、データの再取り込みを行います。ただし、add oneshotはファイル単位で取り込みを行うため、イベントの重複が発生します。

２．重複しているデータを検索

　そこで重複しているデータを以下のようなSPLで検索します。

　（コマンド例）

　　index="AAAA"(重複イベントが含まれるインデックス)
　　| eval cd=_cd
　　| search [search source="AAAA"　(重複イベントが含まれるデータソース)
　　| stats count last(_cd) AS cd by _raw
　　| search count > 1
　　| fields cd ]

３．deleteコマンドで重複データを排除

上記で出力されるイベントが削除対象であることを確認したのち、上記のコマンド例の最後にdeleteコマンドを付加し実行することで。重複データを削除します。

_{※deleteコマンドは、対象のイベントに削除フラグを立て、検索ができなくようにするものです。データ自体が削除されるわけではないためディスク容量を開ける目的での利用はできません。}

②フォワーダーは負荷分散設定をしているが、インデクサーで障害が起きるとイベントが取り込まれない事象が発生してしまうのか

通常、負荷分散設定をしている場合はフォワーダーが設定に従い、転送先となるインデクサーを切り替えます。また、インデクサーがダウンすると、以下図のように、インデクサーAからインデクサーBへ転送先を変更します。一見すると、お客様の考えるようにイベントの欠損が発生しないように見えます。

通常

しかしながら、次のようなケースでは、イベントの欠損が発生することがあります。

Case1.フォワーダーがデータを送った後にNWの経路上でデータが欠落する。

Case2.フォワーダーがデータを送った後にインデクサーがダウンし、データが受け取られない。

Case3.インデクサーがダウンし、受け取ったデータをイベントに取り込めない

Case1

Case2

Case3

③対策として何を実施すればよいか

調査の結果、お客様環境ではインデクサーがダウンしたことで、Case2,3を要因としてイベントの欠損が起きていました。今後イベント欠損を防ぐには、以下のような対策が可能です。