- Splunk 教程
- Splunk - 首頁
- Splunk - 概述
- Splunk - 環境
- Splunk - 介面
- Splunk - 資料攝取
- Splunk - 資料來源型別
- Splunk - 基本搜尋
- Splunk - 欄位搜尋
- Splunk - 時間範圍搜尋
- Splunk - 分享和匯出
- Splunk - 搜尋語言
- Splunk - 搜尋最佳化
- Splunk - 資料轉換命令
- Splunk - 報表
- Splunk - 儀表盤
- Splunk - 資料透視和資料集
- Splunk - 查詢表
- Splunk - 計劃和告警
- Splunk - 知識管理
- Splunk - 子搜尋
- Splunk - 搜尋宏
- Splunk - 事件型別
- Splunk - 基本圖表
- Splunk - 疊加圖表
- Splunk - 迷你圖
- Splunk - 指數管理
- Splunk - 計算欄位
- Splunk - 標籤
- Splunk - 應用
- Splunk - 刪除資料
- Splunk - 自定義圖表
- Splunk - 檔案監控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用資源
- Splunk - 快速指南
- Splunk - 有用資源
- Splunk - 討論
Splunk - 指數管理
索引是一種透過為被搜尋的資料片段提供數字地址來加快搜索過程的機制。Splunk 索引類似於資料庫中的索引概念。安裝 Splunk 會建立三個預設索引,如下所示。
main − 這是 Splunk 的預設索引,所有已處理的資料都儲存在此處。
Internal − 此索引儲存 Splunk 的內部日誌和處理指標。
audit − 此索引包含與檔案系統更改監控、稽核和所有使用者歷史記錄相關的事件。
Splunk 索引器建立和維護索引。當您向 Splunk 新增資料時,索引器會處理它並將其儲存在指定的索引中(預設情況下,儲存在 main 索引中,或者儲存在您指定的索引中)。
檢查索引
登入 Splunk 後,我們可以透過轉到設定 → 索引來檢視現有索引。下圖顯示了該選項。
進一步點選索引後,我們可以看到 Splunk 為已捕獲到 Splunk 的資料維護的索引列表。下圖顯示了這樣一個列表。
建立新的索引
我們可以根據儲存在 Splunk 中的資料建立具有所需大小的新索引。傳入的附加資料可以使用這個新建立的索引,但具有更好的搜尋功能。建立索引的步驟是設定 → 索引 → 新建索引。出現如下螢幕,我們在此處提及索引的名稱和記憶體分配等。
索引事件
在建立上述索引後,我們可以配置要由此特定索引索引的事件。我們選擇事件型別。使用路徑設定 → 資料輸入 → 檔案和目錄。然後,我們選擇要附加到新建立事件的事件的特定檔案。如下圖所示,我們已將名為 index_web_app 的索引分配給此特定檔案。
廣告