Splunk - การจัดการดัชนี
การจัดทำดัชนีเป็นกลไกในการเร่งกระบวนการค้นหาโดยการให้ที่อยู่ที่เป็นตัวเลขให้กับข้อมูลที่กำลังค้นหา Splunk Indexing คล้ายกับแนวคิดของการสร้างดัชนีในฐานข้อมูล การติดตั้ง Splunk จะสร้างดัชนีเริ่มต้นสามแบบดังนี้
main - นี่คือดัชนีเริ่มต้นของ Splunk ที่เก็บข้อมูลที่ประมวลผลทั้งหมด
Internal - ดัชนีนี้เป็นที่เก็บบันทึกภายในและเมตริกการประมวลผลของ Splunk
audit - ดัชนีนี้ประกอบด้วยเหตุการณ์ที่เกี่ยวข้องกับการตรวจสอบการเปลี่ยนแปลงระบบไฟล์การตรวจสอบและประวัติผู้ใช้ทั้งหมด
Splunk Indexers สร้างและดูแลดัชนี เมื่อคุณเพิ่มข้อมูลลงใน Splunk ตัวสร้างดัชนีจะประมวลผลและจัดเก็บไว้ในดัชนีที่กำหนด (โดยค่าเริ่มต้นในดัชนีหลักหรือในดัชนีที่คุณระบุ)
การตรวจสอบดัชนี
เราสามารถดูดัชนีที่มีอยู่ได้โดยไปที่ Settings → Indexesหลังจากเข้าสู่ Splunk ภาพด้านล่างแสดงตัวเลือก
ในการคลิกที่ดัชนีเพิ่มเติมเราจะเห็นรายการดัชนีที่ Splunk เก็บรักษาข้อมูลที่บันทึกไว้แล้วใน Splunk ภาพด้านล่างแสดงรายการดังกล่าว
การสร้างดัชนีใหม่
เราสามารถสร้างดัชนีใหม่ที่มีขนาดที่ต้องการโดยข้อมูลที่เก็บไว้ใน Splunk ข้อมูลเพิ่มเติมที่เข้ามาสามารถใช้ดัชนีที่สร้างขึ้นใหม่นี้ แต่มีฟังก์ชันการค้นหาที่ดีกว่า ขั้นตอนในการสร้างดัชนีคือSettings → Indexes → New Index. หน้าจอด้านล่างจะปรากฏขึ้นโดยที่เราระบุชื่อดัชนีและการจัดสรรหน่วยความจำเป็นต้น
การจัดทำดัชนีเหตุการณ์
หลังจากสร้างดัชนีด้านบนแล้วเราสามารถกำหนดค่าเหตุการณ์ที่จะจัดทำดัชนีโดยดัชนีเฉพาะนี้ได้ เราเลือกประเภทเหตุการณ์ ใช้เส้นทางSettings → Data Inputs → Files & Directories. จากนั้นเราเลือกไฟล์เฉพาะของเหตุการณ์ที่เราต้องการแนบกับเหตุการณ์ที่สร้างขึ้นใหม่ ดังที่คุณเห็นในภาพด้านล่างเราได้กำหนดดัชนีชื่อ index_web_app ให้กับไฟล์เฉพาะนี้