Splunk Search
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

文字コードの設定に関して

tonakano
Engager
‎02-28-2020 12:07 AM

日本語(UTF-8)と数字や日付情報が入り混じった情報を読み込んでいます。
読み込みのChar-setは、AUTOを指定にしています。

読み込んだ結果を見ると問題なく、日本語が見えるのですが、何らかの検索をすると途端に表示が別の文字コードで変換され読めなくなります。(\xB7といったコード値に変わってしまいます。)
何度かインデックスを削除し、読み込み直しもしましたが結果が一緒でした。

読み込むファイルをSJISに保存しなおすと問題は発生しなくなるのは確認したのですが、クラウドから定期的にDLするデータであるため都度都度文字コードを変えるのは運用上現実的ではないと考えています。

何か対策はありますでしょうか?
(CHAR-SETを明示的にUTF-8にもしてみましたが、結果は変わりませんでした。)

0 Karma
Reply

to4kawa
Ultra Champion
‎02-29-2020 01:19 AM

props.conf は提示できますか?

0 Karma
Reply

tonakano
Engager
‎03-01-2020 05:09 PM

コメントありがとうございます。
props.confはいじろうと思ったのですが、CHARSETに関しては、defalutでAUTO指定されていて、それ以外だと特に指定が無かったので、問題ないのかなと思っていました。
何か変更すべき項目などありますでしょうか?
※Ver8.01インストール後変更をしていません。
※2:ちょっと外部にいるもので、ファイルが直接参照できず、貼り付けることが今週は難しい状況です。。

0 Karma
Reply

to4kawa
Ultra Champion
‎03-02-2020 01:06 PM

porps.conf が知りたかったのはログが提示されてないので、状態が知りたかっただけです

splunkというより、まずはログがどうなってるのかが大事で、エディタで生ログを開いたとき文字コードがバラバラだったりすると一手間かけないと難しいでしょう

0 Karma
Reply
Get Updates on the Splunk Community!

Combine Multiline Logs into a Single Event with SOCK - a Guide for Advanced Users

This article is the continuation of the “Combine multiline logs into a single event with SOCK - a step-by-step ...

Everything Community at .conf24!

You may have seen mention of the .conf Community Zone 'round these parts and found yourself wondering what ...

Index This | I’m short for "configuration file.” What am I?

May 2024 Edition Hayyy Splunk Education Enthusiasts and the Eternally Curious!  We’re back with a Special ...