Splunk 管理索引
索引是一种通过为正在搜索的数据提供数字地址来加速搜索过程的机制。 Splunk 索引类似于数据库中的索引概念。 Splunk 的安装会创建三个默认索引,如下所示。
-
main : 这是 Splunk 的默认索引,存储所有处理后的数据。
-
Internal :这个索引是存储Splunk内部日志和处理指标的地方。
-
audit : 该索引包含与文件系统更改监控、审计和所有用户历史相关的事件。
Splunk 索引器创建和维护索引。当你将数据添加到 Splunk 时,索引器会对其进行处理并将其存储在指定索引中(默认情况下,在主索引中或你标识的索引中)。
检查索引
我们可以通过以下方式查看现有索引 设置 → 索引 登录 Splunk 后。下图显示了该选项。
进一步单击索引,我们可以看到 Splunk 为已在 Splunk 中捕获的数据维护的索引列表。下图显示了这样一个列表。
创建新索引
我们可以通过存储在 Splunk 中的数据创建具有所需大小的新索引。进来的附加数据可以使用这个新创建的索引但更好的搜索功能。创建索引的步骤是 设置 → 索引 → 新索引 .下面的屏幕出现在我们提到索引名称和内存分配等的地方。
索引事件
在上面创建索引后,我们可以配置要由这个特定索引索引的事件。我们选择事件类型。使用路径 设置 → 数据输入 → 文件和目录 .然后我们选择要附加到新创建事件的事件的特定文件。如下图所示,我们已将名为 index_web_app 的索引分配给该特定文件。
