Учебники

Splunk – Управление индексами

Индексирование – это механизм, позволяющий ускорить процесс поиска, присваивая числовые адреса фрагменту данных, в котором выполняется поиск. Индексирование Splunk аналогично концепции индексации в базах данных. Установка Splunk создает три индекса по умолчанию следующим образом.

  • main – это индекс по умолчанию в Splunk, где хранятся все обработанные данные.

  • Внутренний – в этом индексе хранятся внутренние журналы и показатели обработки Splunk.

  • аудит – этот индекс содержит события, связанные с монитором изменений файловой системы, аудитом и всей историей пользователей.

main – это индекс по умолчанию в Splunk, где хранятся все обработанные данные.

Внутренний – в этом индексе хранятся внутренние журналы и показатели обработки Splunk.

аудит – этот индекс содержит события, связанные с монитором изменений файловой системы, аудитом и всей историей пользователей.

Индексаторы Splunk создают и поддерживают индексы. Когда вы добавляете данные в Splunk, индексатор обрабатывает их и сохраняет их в назначенном индексе (по умолчанию, в основном индексе или в том, который вы идентифицируете).

Проверка индексов

Мы можем взглянуть на существующие индексы, перейдя в Настройки → Индексы после входа в Splunk. На изображении ниже показана опция.

Indexes1

При дальнейшем нажатии на индексы, мы можем увидеть список индексов, которые Splunk поддерживает для данных, которые уже захвачены в Splunk. На рисунке ниже показан такой список.

Indexes2

Создание нового индекса

Мы можем создать новый индекс с желаемым размером по данным, которые хранятся в Splunk. Дополнительные данные, которые поступают, могут использовать этот недавно созданный индекс, но улучшенную функциональность поиска. Шаги для создания индекса: Настройки → Индексы → Новый индекс . Появится экран ниже, где мы упоминаем имя индекса и распределение памяти и т. Д.

Indexes3

Индексация событий

После создания указанного выше индекса мы можем настроить события, которые будут проиндексированы этим конкретным индексом. Мы выбираем тип события. Используйте путь Настройки → Ввод данных → Файлы и каталоги . Затем мы выбираем конкретный файл событий, который мы хотим прикрепить к вновь созданному событию. Как вы можете видеть на картинке ниже, мы присвоили этому индексу индекс index_web_app.