Splunk 简明教程

Splunk - Managing Indexes

索引是一种通过给要搜索的数据块提供数字地址来加速搜索过程的机制。Splunk 索引类似于数据库中索引的概念。安装 Splunk 后会创建三个默认索引,如下所示。

  1. main − 这是 Splunk 的默认索引,其中存储所有已处理的数据。

  2. Internal − 此索引是存储 Splunk 的内部日志和处理度量值的位置。

  3. audit − 此索引包含与文件系统更改监视器、审核和所有用户历史记录相关联的事件。

Splunk 索引器创建并维护索引。将数据添加到 Splunk 后,索引器会处理数据,并将数据存储在指定的索引中(默认情况下,在主索引或您确定的索引中)。

Checking Indexes

登录 Splunk 后,可以通过访问 Settings → Indexes 来查看现有索引。下图显示了该选项。

indexes 1

进一步单击索引后,我们可以看到 Splunk 维护的用于 Splunk 中已捕获数据的索引列表。下图显示了此类列表。

indexes 2

Creating a New Index

我们可以通过 Splunk 中存储的数据按所需的大小创建一个新索引。随之而来的附加数据可以使用这个新创建的索引,但搜索功能较好。创建索引的步骤为 Settings → Indexes → New Index 。将会显示以下屏幕,我们在其中指定索引名称和内存分配等。

indexes 3

Indexing the Events

在创建上述索引后,我们可以配置由该特定索引编制索引的事件。我们选择事件类型。使用路径 Settings → Data Inputs → Files & Directories 。然后,我们选择要附加到新创建事件的特定事件文件。正如您在下图中看到的,我们已将名为 index_web_app 的索引分配给此特定文件。

indexes 4