- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 分享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查询表
- Splunk - 计划和告警
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 指数管理
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 指数管理
索引是一种通过为被搜索的数据片段提供数字地址来加快搜索过程的机制。Splunk 索引类似于数据库中的索引概念。安装 Splunk 会创建三个默认索引,如下所示。
main − 这是 Splunk 的默认索引,所有已处理的数据都存储在此处。
Internal − 此索引存储 Splunk 的内部日志和处理指标。
audit − 此索引包含与文件系统更改监控、审核和所有用户历史记录相关的事件。
Splunk 索引器创建和维护索引。当您向 Splunk 添加数据时,索引器会处理它并将其存储在指定的索引中(默认情况下,存储在 main 索引中,或者存储在您指定的索引中)。
检查索引
登录 Splunk 后,我们可以通过转到设置 → 索引来查看现有索引。下图显示了该选项。
进一步点击索引后,我们可以看到 Splunk 为已捕获到 Splunk 的数据维护的索引列表。下图显示了这样一个列表。
创建新的索引
我们可以根据存储在 Splunk 中的数据创建具有所需大小的新索引。传入的附加数据可以使用这个新创建的索引,但具有更好的搜索功能。创建索引的步骤是设置 → 索引 → 新建索引。出现如下屏幕,我们在此处提及索引的名称和内存分配等。
索引事件
在创建上述索引后,我们可以配置要由此特定索引索引的事件。我们选择事件类型。使用路径设置 → 数据输入 → 文件和目录。然后,我们选择要附加到新创建事件的事件的特定文件。如下图所示,我们已将名为 index_web_app 的索引分配给此特定文件。
广告