超级会员免费看
Splunk的索引过程包括事件处理和索引建立,其中事件被划分为单独的可搜索事件,并提取如时间戳、主机、源和源类型等字段。索引器集群由主节点、同行节点和搜索头组成,提供冗余的索引和搜索能力。主节点管理集群,同行节点负责索引和数据复制,搜索头协调搜索。索引器通过解析和索引管道对数据进行处理,包括提取默认字段、识别时间戳和构建索引数据结构。同时, Splunk支持前向器进行数据收集、预处理和转发,确保数据完整性和安全性。
术语:
Event :Events are records of activity in log files, stored in Splunk indexes. 简单说,处理的日志或话单中中一行记录就是一个Event;
Source type: 来源类型,identifies the format of the data,简单说,一种特定格式的日志,可以定义为一种source type;Splunk默认提供有500多种确定格式数据的type,包括apache log、常见OS的日志、Cisco等网络设备的日志等;
Index: The index is the repository for Splunk Enterprise data. Splunk transforms incoming data into events, which it stores in indexes. 有两层含义:一是数据物理存储上的表达,也是一个数据处理的动作表达:Splunk indexes your data,这个过程会产生两类数据:
The raw data in compressed form (rawdata)
Indexes that point to the r
订阅专栏 解锁全文
扫一扫
1070
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
