Splunk使用上,web介面也就是利用瀏覽器操作的介面相信對很多人來說是相當方便,許多操作舉凡資料輸入、欄位擷取、作圖等都可以從上面進行,但相對的也就是受限於web介面,介面有提供給使用者才能操作,沒提供給出來的呢? 這時候就需要了解他的架構,才能跳脫介面限制從設定檔下手,快速達到我們的目的。此外,很多操作在web介面上只能一個一個操作,如果你要大量操作時,使用設定檔比較方便,或者是例如資料移動/匯出等等,利用下指令(command)的方式會比web介面快等等,很多地方利用設定檔會方便很多。
要操作設定檔就要了解他的路徑,介紹幾個Splunk在使用上的重要路徑及作用。
1. $Splunk\bin
1.1. $Splunk\bin\scripts
bin下主要存放重要的執行檔及Splunk提供的小工具,例如:服務停止/重啟/匯出匯入檔案/文字轉化圖案等/產生金鑰/資料凍結(coldToFrozenExample)等等。啟動/重啟/停止Splunk可以參考下面這篇。
如何開始使用Splunk的安裝與啟動How to Get Started with Splunk
如何開始使用Splunk的安裝與啟動How to Get Started with Splunk
2. $Splunk\etc\
2.1. $Splunk\etc\apps
2.2. $Splunk\etc\system\local
2.3. $Splunk\etc\system\default
2.4. $Splunk\Splunk\etc\auth
etc下主要存放安裝的套件中及全域設定的所有東西,除了資料以外,資料輸入/欄位擷取/轉換/儀表板(Dashboard)等等的設定檔都在這裡,儀錶板的路徑可以參考下面這篇。
2.4. $Splunk\Splunk\etc\auth
etc下主要存放安裝的套件中及全域設定的所有東西,除了資料以外,資料輸入/欄位擷取/轉換/儀表板(Dashboard)等等的設定檔都在這裡,儀錶板的路徑可以參考下面這篇。
3.$Splunk\var\
3.1.$Splunk\var\lib\splunk\$app_name$\db
3.2.$Splunk\var\log\splunk
var下主要存放Splunk收進來的資料,包含Splunk自身的系統資料與操作錯誤紀錄資料等等,也就是資料備份複製的主角,資料備份複製的操作方式可以參考以下兩篇。
Splunk 備份方法與注意事項 Splunk Backup Method and Considerations
Splunk資料備份還原與注意事項 Splunk and restore with considerations
Splunk資料備份還原與注意事項 Splunk and restore with considerations
註:$Splunk表示os中,splunk預設的安裝位置,window應該會在C:\Program Files\Splunk,不同作業系統會有些微差異,但作用都相同。
沒有留言:
張貼留言