Log Observer の制限 🔗
注釈
Splunk Observability Cloud の Splunk Log Observer エンタイトルメントをお持ちのお客様は、2023年12月までに Log Observer から Log Observer Connect に移行する必要があります。Log Observer Connect を使用すると、より多様なデータソースからより多くのログをインジェストし、より高度なログパイプラインを利用し、セキュリティロギングに拡張できます。その方法については、Splunk Log Observer の移行 を参照してください。
このページでは、Splunk Log Observer サービスの制限と動作について説明します。システム保護の制限は、マルチテナント システムの安定性と可用性を確保するためのものであり、予告なく微調整や変更が行われる場合があります。
Log Observer のインジェストとインデックスの制限 🔗
以下の表は、Log Observerのログの取り込みとインデックス作成の制限の一覧です:
制限名 |
デフォルトの制限値 |
|---|---|
月間取り込み MB |
サブスクリプションにより決定 |
月間インデックス作成 MB |
サブスクリプションにより決定 |
月間取り込み MB 🔗
Log volume ingestion エンタイトルメントは、お客様の組織の契約によって決定されます。これは、購入されたホストから換算することもできますし、月あたりのGB使用量に基づくこともできます。この月間容量のうち、1時間または1分あたりに使用できる量、つまり「バースト制限」は、契約上の制限の倍数です。MB/月の契約容量を増やすことができます。バーストリミットのMB/時またはMB/分は、お客様のデータ保護を保証するためのシステム制限であるため、増やすことはできません。
Important: この制限はシステム保護の制限であり、システムの可用性と微調整に基づいて変更されることがあります。
限界に達したらどうなりますか? 🔗
そのバケット(1時間ごと、1分ごと)の制限を超えるログデータはすべてドロップされ、取り込まれません。
注釈
Splunk は顧客の要求に応じてこの上限を増やすことができます。お客様は超過料金の対象となります。
月間インデックス作成 MB 🔗
Log volume indexed エンタイトルメントは、お客様の組織の契約によって決定されます。これは、購入されたホストから換算することもできますし、月あたりのGB使用量に基づくこともできます。この月間容量のうち、1時間または1分あたりに使用できる量、つまり「バースト制限」は、契約上の制限の倍数です。MB/月の契約容量を増やすことができます。バーストリミットのMB/時またはMB/分は、お客様のデータ保護を保証するためのシステム制限であるため、増やすことはできません。
Important: この制限はシステム保護の制限であり、システムの可用性と微調整に基づいて変更されることがあります。
限界に達したらどうなりますか? 🔗
そのバケット(1時間ごと、1分ごと)の制限を超えたログデータはすべて削除され、インデックス化されません。
注釈
Splunk は顧客の要求に応じてこの上限を増やすことができます。お客様は超過料金の対象となります。
Log Observer 処理ルールの制限 🔗
以下の表は、Log Observerの処理ルールの制限を示しています:
制限名 |
デフォルトの制限値 |
|---|---|
処理ルールの最大数 |
128 |
処理ルールの最大数 🔗
これは、組織が作成できる処理ルールの最大数です。組織は、フィールド抽出ルール、フィールドコピールール、フィールド再編集ルールを含む、合計128のログ処理ルールを作成できます。組織はまた、合計128の無限のロギングルールと128のログメトリクス化ルールを作成できます。
限界に達したらどうなりますか? 🔗
新しいログ処理ルールは作成できません。
注釈
Log Observer には 128 ルールというハードリミットがあります。Splunk は顧客の要求に応じてこの制限を増やすことはできません。
Log Observer の検索クエリ制限 🔗
以下の表は、Log Observerの検索クエリ制限の一覧です:
制限名 |
デフォルトの制限値 |
|---|---|
保存された検索クエリの最大数 |
1,000 |
フィールドサマリーで処理されるログの最大数 |
150,000 |
同時ライブテールの最大数 |
2,048 |
保存された検索クエリの最大数 🔗
これは、組織内で作成できる保存検索クエリの最大数です。
限界に達したらどうなりますか? 🔗
ユーザーエクスペリエンスが低下する可能性があり、機能性を保証するものではありません。
フィールドサマリーで処理されるログの最大数 🔗
Log Observer UIは、フィールドとその値の分布の概要を表示します。デフォルトでは、直近の15万件のイベントを処理してこのビューを生成します。
限界に達したらどうなりますか? 🔗
検索結果に15万件以上のイベントが含まれている場合、最新の15万件のみが処理されます。
同時ライブテールの最大数 🔗
これは同時に実行できるライブテールの最大数です。これらのクエリは、ユーザーがLog Observer Live Tail UIとやりとりするときにディスパッチされます。
限界に達したらどうなりますか? 🔗
追加のライブテールクエリは、既存のライブテールがキャンセルされるまでキューに入れられます。ライブテールクエリはキューに入っている間はデータを返しません。