Splunk-インデックスの管理

インデックス作成は、検索対象のデータに数値アドレスを与えることにより、検索プロセスを高速化するメカニズムです。Splunkインデックス作成は、データベースのインデックス作成の概念に似ています。Splunkをインストールすると、次の3つのデフォルトインデックスが作成されます。

  • main −これは、処理されたすべてのデータが保存されるSplunkのデフォルトのインデックスです。

  • Internal −このインデックスは、Splunkの内部ログと処理メトリックが保存される場所です。

  • audit −このインデックスには、ファイルシステムの変更モニター、監査、およびすべてのユーザー履歴に関連するイベントが含まれます。

Splunkインデクサーは、インデックスを作成および維持します。Splunkにデータを追加すると、インデクサーはデータを処理し、指定されたインデックス(デフォルトでは、メインインデックスまたは指定したインデックス)に保存します。

インデックスの確認

次のURLにアクセスすると、既存のインデックスを確認できます。 Settings → IndexesSplunkにログインした後。以下の画像はオプションを示しています。

インデックスをさらにクリックすると、Splunkですでにキャプチャされているデータに対してSplunkが維持しているインデックスのリストが表示されます。下の画像はそのようなリストを示しています。

新しいインデックスの作成

Splunkに保存されているデータにより、希望のサイズの新しいインデックスを作成できます。入ってくる追加データは、この新しく作成されたインデックスを使用できますが、検索機能が向上します。インデックスを作成する手順は次のとおりです。Settings → Indexes → New Index。以下の画面が表示され、インデックスの名前やメモリ割り当てなどが示されます。

イベントのインデックス作成

上記のインデックスを作成した後、この特定のインデックスによってインデックスが付けられるようにイベントを構成できます。イベントの種類を選択します。パスを使用するSettings → Data Inputs → Files & Directories。次に、新しく作成したイベントに添付するイベントの特定のファイルを選択します。次の画像でわかるように、index_web_appという名前のインデックスをこの特定のファイルに割り当てました。

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved