Splunk - Управление индексами
Индексирование - это механизм для ускорения процесса поиска путем присвоения числовых адресов исследуемому фрагменту данных. Индексирование Splunk похоже на концепцию индексации в базах данных. При установке Splunk создаются три индекса по умолчанию, как показано ниже.
main - Это индекс Splunk по умолчанию, в котором хранятся все обработанные данные.
Internal - В этом индексе хранятся внутренние журналы и показатели обработки Splunk.
audit - Этот индекс содержит события, связанные с монитором изменений файловой системы, аудитом и всей историей пользователей.
Индексаторы Splunk создают и поддерживают индексы. Когда вы добавляете данные в Splunk, индексатор обрабатывает их и сохраняет в указанном индексе (по умолчанию в основном индексе или в указанном вами).
Проверка индексов
Мы можем взглянуть на существующие индексы, перейдя в Settings → Indexesпосле входа в Splunk. На изображении ниже показан вариант.
При дальнейшем нажатии на индексы мы можем увидеть список индексов, которые Splunk поддерживает для данных, которые уже записаны в Splunk. На изображении ниже показан такой список.
Создание нового индекса
Мы можем создать новый индекс желаемого размера по данным, хранящимся в Splunk. Дополнительные данные, которые поступают, могут использовать этот недавно созданный индекс, но с улучшенными функциями поиска. Шаги по созданию индекса:Settings → Indexes → New Index. Появится экран ниже, где мы упоминаем имя индекса, выделение памяти и т. Д.
Индексирование событий
После создания указанного выше индекса мы можем настроить события, которые будут индексироваться этим конкретным индексом. Выбираем тип мероприятия. Используйте путьSettings → Data Inputs → Files & Directories. Затем мы выбираем конкретный файл событий, который хотим прикрепить к вновь созданному событию. Как вы можете видеть на изображении ниже, мы присвоили этому конкретному файлу индекс с именем index_web_app.