Splunk indexer相關介紹
Splunk的indexer與一般資料庫講的index意思有些不同,詳情上回splunk基本介紹中講過。
以下舉出Splunk常見的index部件,並介紹其功用:
main: 預設所有處理後的外部數據都存儲在這裡,除非另有指定。外部數據指的是(1)您所指定的input,(2)您所安裝的應用程序的輸入。
_internal: 該部件包括Splunk Enterprise內部日誌和資料(metrics),例如splunkd.log就會存到名為_internal的index。該index並不算作為Splunk license(註)的一部分。所以不紀錄log檔並不會節省你的license
_audit: 監測從文件系統中,事件的變化(monitor),審核( auditing),還有所有用戶的搜索歷史紀錄。
_introspection: 這是Splunk 6.1的"Platform Instrumentation"的功能之一。此舉意在蒐集運行Splunk時相關的系統數據,以幫助診斷Splunk的性能問題。這些對於用戶部屬的Splunk系統資源利用率的報告和故障排除有所幫助。 路徑: $SPLUNK_HOME/var/log/introspection [file]disk_objects.log & resource_usage.log
_thefishbucket: 正常狀況下不會使用到的資料。這是Splunk工程師破譯文件輸入相關問題會用到的資料,包含了你儲存的文件的搜索指標和CRCs,所以splunkd可以告訴它是否讀取了這些東西。如果你整理蒐集了(index)大量的文件這個index將會相當大。
_splunklogger:服務器自啟動以來,所完成之所有工作的紀錄,預設不會啟動。
實務建議,開始分析前最好先建立一個客製的index,例如:customer,將要分析的資料存在這裡。因為不另外設定的話在測試階段的實驗資料或其他不理想的資料都會存mina,而main是不能砍也不能修改的地方,因為裡面存的都是主要的資料(預設值),所以知道為何再動手做前要另外設置index了吧。
*Splunk license: 基本上就是指付費用量,免費用戶基本量是500M/月,當使用超過時主介面會提示警告,當次數超過5次/月後,Splunk將無法使用,當然有其解除方法,可私訊。
沒有留言:
張貼留言