Splunk – 管理索引

索引是一种通过为要搜索的数据提供数字地址来加速搜索过程的机制。Splunk 索引类似于数据库中的索引概念。Splunk 的安装会创建三个默认索引，如下所示。

• main – 这是 Splunk 的默认索引，其中存储了所有处理过的数据。

• 内部– 此索引是存储 Splunk 内部日志和处理指标的位置。

• 审计– 此索引包含与文件系统更改监视器、审计和所有用户历史记录相关的事件。

Splunk 索引器创建和维护索引。当您将数据添加到 Splunk 时，索引器会对其进行处理并将其存储在指定的索引中（默认情况下，在主索引中或您标识的索引中）。

检查索引

登录 Splunk 后，我们可以通过转到设置 → 索引来查看现有索引。下图显示了该选项。

进一步单击索引，我们可以看到 Splunk 为已在 Splunk 中捕获的数据维护的索引列表。下图显示了这样一个列表。

创建新索引

我们可以通过存储在 Splunk 中的数据创建具有所需大小的新索引。进来的附加数据可以使用这个新创建的索引，但具有更好的搜索功能。创建索引的步骤是Settings → Indexes → New Index。下面的屏幕出现在我们提到索引名称和内存分配等的地方。

索引事件

创建上面的索引后，我们可以配置要由该特定索引索引的事件。我们选择事件类型。使用路径Settings → Data Inputs → Files & Directories。然后我们选择要附加到新创建的事件的事件的特定文件。如下图所示，我们已将名为 index_web_app 的索引分配给该特定文件。