[Splunk] 파일 모니터링에서 재인덱싱(Re-indexing) 하기
2023. 4. 12. 20:36ㆍ빅데이터 분석/Splunk
Splunk는 파일 모니터링시 어떤 파일의 어디까지 읽었는지 내부적으로 fishbucket이란 곳에 기록해둔다.
fishbucket은 인덱싱한 데이터를 이중으로 수집하지 않도록 도와준다.
한 차례 인덱싱한 파일을 다시 인덱싱해야 하는 상황이 발생했을 때에는 add oneshot 이라는 CLI 커맨드를 통해 해결할 수 있다.
- 참고 : https://docs.splunk.com/Documentation/SplunkCloud/latest/Data/MonitorfilesanddirectoriesusingtheCLI
커맨드 형식은 다음과 같다.
$SPLUNK_HOME/bin/splunk add oneshot "파일명" -index 인덱스명 -sourcetype 소스타입명 -host 호스트
| 인덱싱 하려는 파일명 : login_data_20230412.log index명 : user sourcetype명 : user:login host명 : 192.168.0.13 |
위와 같은 사용자 정의를 추가한 커맨드는 다음과 같다.
$SPLUNK_HOME/bin/splunk add oneshot "login_data_20230412.log" -index user -sourcetype user:login -host 192.168.0.13
index명, host명을 지정하지 않는 경우 default 값으로 인덱싱된다.
index=main
sourcetype=임의생성
host=서버의호스트명
반응형
'빅데이터 분석 > Splunk' 카테고리의 다른 글
| [Splunk] 스플렁크 작업 이력 검색하기 (0) | 2022.09.27 |
|---|---|
| [Splunk] 데이터 품질 점검하기 (0) | 2022.09.27 |
| [Splunk] KV store와 MongoDB (0) | 2022.09.25 |
| [Splunk] DB Connect로 데이터 연동하기 (db_inputs.conf) (0) | 2022.09.07 |
| [Splunk] DB Connect 3.9.0 에서의 JDBC (0) | 2022.09.05 |