- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 管理索引
索引是一种通过为正在搜索的数据提供数字地址来加速搜索过程的机制。Splunk 索引类似于数据库中索引的概念。Splunk 的安装会创建三个默认索引,如下所示。
main - 这是 Splunk 的默认索引,其中存储所有已处理的数据。
内部- 该索引是 Splunk 内部日志和处理指标的存储位置。
审计- 该索引包含与文件系统更改监视器、审计和所有用户历史记录相关的事件。
Splunk 索引器创建并维护索引。当您将数据添加到 Splunk 时,索引器会对其进行处理并将其存储在指定索引中(默认情况下,存储在主索引中或存储在您指定的索引中)。
检查索引
登录Splunk后,我们可以通过设置→索引来查看现有的索引。下图显示了该选项。
进一步单击索引,我们可以看到 Splunk 为 Splunk 中已捕获的数据维护的索引列表。下图显示了这样一个列表。
创建新索引
我们可以根据 Splunk 中存储的数据创建具有所需大小的新索引。传入的附加数据可以使用这个新创建的索引,但具有更好的搜索功能。创建索引的步骤是设置→索引→新建索引。下面的屏幕出现,我们提到索引的名称和内存分配等。
为事件建立索引
创建上面的索引后,我们可以配置要按此特定索引索引的事件。我们选择事件类型。使用路径设置 → 数据输入 → 文件和目录。然后我们选择要附加到新创建的事件的特定事件文件。如下图所示,我们已将名为index_web_app 的索引分配给该特定文件。
