Splunk 管理索引

索引是一种通过为要搜索的数据提供数字地址来加速搜索过程的机制。 Splunk 索引类似于数据库中的索引概念。 Splunk 的安装会创建如下三个默认索引。

  • main-这是 Splunk 的默认索引,用于存储所有处理过的数据。
  • Internal-此索引是存储 Splunk 内部日志和处理指标的位置。
  • audit-此索引包含与文件系统更改监视器、审核和所有用户历史记录相关的事件。

Splunk 索引器创建和维护索引。当您向 Splunk 添加数据时,索引器会对其进行处理并将其存储在指定的索引中(默认情况下,在主索引中或您标识的索引中)。

检查索引

我们可以在登录 Splunk 后转到 设置 → 索引 查看现有索引。下图显示了该选项。

Indexes1

进一步单击索引,我们可以看到 Splunk 为已在 Splunk 中捕获的数据维护的索引列表。下图显示了这样一个列表。

Indexes2

创建新索引

我们可以通过存储在 Splunk 中的数据创建一个具有所需大小的新索引。进来的附加数据可以使用这个新创建的索引,但具有更好的搜索功能。创建索引的步骤是 设置→索引→新建索引。出现下面的屏幕,我们提到了索引的名称和内存分配等。

Indexes3

索引事件

创建上面的索引后,我们可以配置要由该特定索引索引的事件。我们选择事件类型。使用路径 设置→数据输入→文件和目录。然后我们选择要附加到新创建的事件的事件的特定文件。如下图所示,我们已将名为 index_web_app 的索引分配给该特定文件。

Indexes4

下一章:Splunk 计算字段

 很多时候,我们需要对 Splunk 事件中已经可用的字段进行一些计算。我们还希望将这些计算的结果存储为一个新字段,以便稍后通过各种搜索进行引用。这是通过在 Splunk 搜索中使用计算字段的概念实现的。一 ...