私はsplunkインスタンスを持っています。データ入力を "RESTfulエンドポイントからのデータをポーリングするためのREST API入力"として設定します。 私はほぼ20以上のエンドポイントを持ち、どこでjson形式でデータを取得していて、単一のインデックスで読み込んでいます。REST APIによってプルされたデータの重複を避けるためのSplunk
レポートや検索クエリが実行されるたびに、最初のフェッチで5つの値が得られ、その後のフェッチで別の5つのデータが得られ、増加し続けるようになります。
私のダッシュボードやレポートでは、重複したデータの問題に遭遇しました。どのように私はそれを避ける必要があります。 私は周りの非常に珍しい仕事のために、1分から1ヶ月に間隔を増やして、データの重複を避けるのに役立ちました。 しかし、私は1ヶ月間古いデータを持つことはできません...私はまだ1日の間隔で生存することができますが、1ヶ月では生き残れません。
私のREST APIコールを整理しておくことができます(重複を避ける)...私のダッシュボードとレポートをすばやく作成する方法はありますか?
ここに、REST API用のinputs.confファイルのスニペットがあります。
splunk clean eventdata -index <index_name>
Splunk documentationから:あなたは、もはやあなたがclean
コマンドを使用することができ、必要とするか、または必要なデータを削除するには
[rest://rst_sl_get_version]
auth_password = ccccc
auth_type = basic
auth_user = vvvvvvv
endpoint = https://api.xx.com/rest/v3/xx_version
host = slrestdata
http_method = GET
index = sldata
index_error_response_codes = 0
response_type = json
sequential_mode = 0
sourcetype = _json
streaming_request = 0
polling_interval = 2592000
2つのセットはまったく同じですか、古い(元の)データセットと新しい(更新された、または別の)セットを送信していますか? – freginold
それはもっと最新のデータだけでAPIを介して計算を行うようになりますようになります。私は古いデータについてはあまり気にしません... – Nic
古いデータを削除して新しいデータに置き換える方法を尋ねていますか? – freginold