小ネタ
start_shutdown.spl
index=_internal TERM("ShutdownHandler") OR (TERM("Splunkd") TERM("starting")) sourcetype=splunkd
_Shutdown_はShutdown completeでもいいかなと思ったけど、一応、エラーが出ることも想定して、この文字で検索している。
https://docs.splunk.com/Documentation/Splunk/latest/Troubleshooting/WhatSplunklogsaboutitself
に
| splunkd.log | The primary log for the Splunk server. The log is often requested by Splunk Support for troubleshooting purposes. In addition, any stderr messages generated by scripted inputs, scripted search commands, and similar are logged here. |
|---|
ということで、Splunk自体の基本的なログとなっている。
Splunk Admin編 〜 _internal ログ - metrics.log の種類とその利活用 〜にも書いてましたね。
https://docs.splunk.com/Documentation/Splunk/latest/Forwarding/Receiverconnection
をみると、フォワーダー関連のエラーもこれに表示されることがある。らしい
個人でやっていると、あんまり気にしないけど、システム管理とかしていると気になりますね。