Internal

_internalログ

splunkの_internalログはComponentフィールドを確認することで分類できる。

Metrics

リソースの使用状況に関するログ。
groupによってさらに分類され、各機能の稼働状況を記録する

bucket_metrics
バケツの状況に関するログ。
現在のhotバケツの数などが確認できる。
searchscheduler
Scheduling Searchesの状況に関するログ。
eligible : 実行予定のサーチ数
delayed : 遅延したサーチ数
dispatched : 実行されたサーチ数
suppressed : 抑制されえたサーチ数
queue
nameを見ることで各種queueの状況を確認できる。
rest command : |rest /services/server/introspection/queues

BucketMover

バケツの状態の移行(Hot -> Cold,Cold->Frozen)に関するログ。
Frozen状態に移行する理由や、移行したバケツ情報のログが出力される。

保存期間を過ぎたため削除された場合、以下のようなログが出力される。
will attempt to freeze: candidate='C:\Program Files\Splunk\var\lib\splunk_introspection\db\db_1566816331_1566816331_37' because frozenTimePeriodInSecs=1209600 is exceeded by the difference between now=1587000072 and latest=1566816331

保存容量を超えたため削除された場合、以下のようなログが出力される。
will attempt to freeze bkt="C:\Program Files\Splunk\var\lib\splunk\test_delete\db\db_1573496341_1570127465_0" reason=" maxTotalDataSize=1048576 bytes, diskSize=7081984 bytes"

HotBucketRoller

HotBucketからの移行に関するログ。
Hotから移行したバケツ情報のログが出力される。

DeployedServerclass

ForwarderManagementに関するログ。
Forwarderに配布したAppsの更新・削除等のログが出力される。

IniFile

設定ファイルに関するログ。
設定ファイルのフォーマットの記載ミス等を表示すると思われる。
Splunkの起動時等(おそらく設定ファイルの読み込み時)に出力される。

TailReader

モニタリングしているファイルの末尾に関するログ。

SavedSplunker

アラートに関するログ。
アラートの実行時・終了時に出力される。
scheduled_time(実行予定時間) : <epoch_time>
dispatch_time(実行時間) : <epoch_time>
status(実行結果) : (success|skipped)
suppressed(アラートの抑制結果) :(0|1)

LicenseUsage

ライセンスに関するログ。
typeによってさらに分類され、ライセンスグループやライセンス消費量などを記載する。

Usage
idx : 取り込みインデックス
st : 取り込みソースタイプ
h : 取り込みホスト
b : ライセンス消費量(bytes)

_internalログ​

Metrics​

BucketMover​

HotBucketRoller​

DeployedServerclass​

IniFile​

TailReader​

SavedSplunker​

LicenseUsage​