超级会员免费看
本文档介绍了如何针对Splunk的默认index——main进行瘦身操作,以减轻本地磁盘压力。通过修改main index的保留时间设置,实现数据管理优化。详细步骤包括:在集群环境中创建main_app,编辑indexes.conf设置frozenTimePeriodInSecs参数,并使用splunk btool和cluster-bundle命令进行应用和验证。
1: 背景:
最近发现很多window 日志都是import 到main index 上面的,那么问题来了,我想对这个Index 进行瘦身,因为保存时间根据时间情况,进行减少,减轻local disk 的压力。
2: 一般我们对每个应用的index 的属性设定都是放到/opt/splunk/etc/slave-apps/ 下面 (这个是在indexer server ),可以我没有发现这个main 的app.
3: 运用检查command:
/opt/splunk/bin/splunk btool indexes list --debug <index_name>
可以发现这个index name 的配置文件。
4: 发现main index 的配置文件后,下面进行操作:
因为我的Splunk cluster 是集群的,所以,还是要新建一个app:
4.1: login CM server:
4.2: cd /opt/splunk/etc/master-apps/
4.3: mkdir main_app/local/
4.4: vi indexes.conf
copy below content to indexes.conf:
[main]
frozenTimePe
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
