Splunk - Gestione degli indici
L'indicizzazione è un meccanismo per accelerare il processo di ricerca fornendo indirizzi numerici ai dati da cercare. L'indicizzazione di Splunk è simile al concetto di indicizzazione nei database. L'installazione di Splunk crea tre indici predefiniti come segue.
main - Questo è l'indice predefinito di Splunk in cui vengono memorizzati tutti i dati elaborati.
Internal - Questo indice è dove sono archiviati i registri interni di Splunk e le metriche di elaborazione.
audit - Questo indice contiene eventi relativi al monitoraggio delle modifiche al file system, al controllo e a tutta la cronologia utente.
Gli indicizzatori Splunk creano e gestiscono gli indici. Quando aggiungi dati a Splunk, l'indicizzatore li elabora e li memorizza in un indice designato (per impostazione predefinita, nell'indice principale o in quello che identifichi).
Controllo degli indici
Possiamo dare un'occhiata agli indici esistenti andando a Settings → Indexesdopo aver effettuato l'accesso a Splunk. L'immagine sotto mostra l'opzione.
Facendo ulteriori clic sugli indici, possiamo vedere l'elenco degli indici conservati da Splunk per i dati già acquisiti in Splunk. L'immagine sotto mostra un tale elenco.
Creazione di un nuovo indice
Possiamo creare un nuovo indice con la dimensione desiderata dai dati che vengono memorizzati in Splunk. I dati aggiuntivi che arrivano possono utilizzare questo indice appena creato ma una migliore funzionalità di ricerca. I passaggi per creare un indice sonoSettings → Indexes → New Index. Viene visualizzata la schermata seguente in cui menzioniamo il nome dell'indice e dell'allocazione della memoria, ecc.
Indicizzazione degli eventi
Dopo aver creato l'indice sopra, possiamo configurare gli eventi da indicizzare da questo specifico indice. Scegliamo il tipo di evento. Usa il percorsoSettings → Data Inputs → Files & Directories. Quindi scegliamo il file specifico degli eventi che vogliamo allegare all'evento appena creato. Come puoi vedere nell'immagine sottostante, abbiamo assegnato l'indice denominato index_web_app a questo file specifico.