製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
1イベントの最大サイズとその変更方法
1イベントの最大サイズ(1行の最大サイズ、最大行数)のデフォルト値と変更方法を以下に記載します 1行の最大サイズについて 1行の最大サイズは、デフォルトでは10000バイトです。 1行が10000バイトを超えるデータは、10001バイト以降が切り捨てられます。 変更する場合はprops.confファイルのTRUNCATEの値を変更します。 設定例 <対象ファイル> ヘビーフォワーダー、(ヘビーフォワーダーを使用していない場合は)インデクサー または <設定内容> ※1行の最大サイズを、バイト数で指定します。 ※TRUNCATE=0を設定することで切り捨てを行わない動作となります。 ※$SPLUNK_HOMEはインストールディレクトリです。デフォルトでは以下です。 <Linux> <Windows> 設定変更後は、Splunkサービスを再起動してください。 1イベントの最大行数について 1イベントの最大行数はデフォルトでは257行です。 変更する場合はprops.confファイルのMAX_EVENTSの値を変更します。 <設定例> イベントをソースタイプ「test」として取り込み、その最大行数を変更する場合 <対象ファイル> ヘビーフォワーダー、(ヘビーフォワーダーを使用していない場合は)インデクサー または <設定内容> ※行数を指定します。上限値はありません。 ※設定変更後は、Splunkサービスを再起動してください。 注意事項 TRUNCATE、MAX_EVENTSのいずれも、インデックス処理や検索パフォーマンスへの影響を避けるための制限となります。 変更する際には、実質的に無制限となるような値ではなく、必要なサイズを指定してください。 以上
$SPLUNK_HOME/etc/apps/<App名>/local/props.conf$SPLUNK_HOME/etc/system/local/props.conf[test]
TRUNCATE=50000
以下に注意の上、環境に合わせて必要なサイズを指定してください。
注意
1行当たりの文字数が膨大なデータを取り込んだ際にパフォーマンスに影響を与えてしまう可能性があります。Splunk Enterprise : /opt/splunk
Universal Forwarder : /opt/splunkforwarderSplunk Enterprise : C:\Program Files\Splunk
Universal Forwarder : C:\Program Files\SplunkUniversalForwarder$SPLUNK_HOME/bin/splunk restart
それ以降はイベントが分割されて取り込まれます。$SPLUNK_HOME/etc/apps/<App名>/local/props.conf$SPLUNK_HOME/etc/system/local/props.conf[test]
MAX_EVENTS=256$SPLUNK_HOME/bin/splunk restart
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30
