Splunk - Gestion des index

L'indexation est un mécanisme pour accélérer le processus de recherche en donnant des adresses numériques à l'élément de données recherché. L'indexation Splunk est similaire au concept d'indexation dans les bases de données. L'installation de Splunk crée trois index par défaut comme suit.

  • main - Il s'agit de l'index par défaut de Splunk où toutes les données traitées sont stockées.

  • Internal - Cet index est l'endroit où les journaux internes et les métriques de traitement de Splunk sont stockés.

  • audit - Cet index contient les événements liés au moniteur de modification du système de fichiers, à l'audit et à tout l'historique de l'utilisateur.

Les indexeurs Splunk créent et gèrent les index. Lorsque vous ajoutez des données à Splunk, l'indexeur les traite et les stocke dans un index désigné (soit, par défaut, dans l'index principal, soit dans celui que vous identifiez).

Vérification des index

Nous pouvons jeter un œil aux index existants en allant sur Settings → Indexesaprès vous être connecté à Splunk. L'image ci-dessous montre l'option.

En cliquant davantage sur les index, nous pouvons voir la liste des index que Splunk gère pour les données déjà capturées dans Splunk. L'image ci-dessous montre une telle liste.

Créer un nouvel index

Nous pouvons créer un nouvel index avec la taille souhaitée par les données stockées dans Splunk. Les données supplémentaires qui arrivent peuvent utiliser cet index nouvellement créé mais une meilleure fonctionnalité de recherche. Les étapes pour créer un index sontSettings → Indexes → New Index. L'écran ci-dessous apparaît où nous mentionnons le nom de l'index et l'allocation de mémoire, etc.

Indexation des événements

Après avoir créé l'index ci-dessus, nous pouvons configurer les événements à indexer par cet index spécifique. Nous choisissons le type d'événement. Utilisez le cheminSettings → Data Inputs → Files & Directories. Ensuite, nous choisissons le fichier spécifique des événements que nous voulons attacher à l'événement nouvellement créé. Comme vous pouvez le voir dans l'image ci-dessous, nous avons attribué l'index nommé index_web_app à ce fichier spécifique.