步驟一:
[messages]步驟二:coldpath = $splunk_db/messages/colddb
enabledataintegritycontrol = 0
enabletsidxreduction = 0
homepath = $splunk_db/messages/db
thawedpath = $splunk_db/messages/thaweddb
bucketrebuildmemoryhint = 0
compressrawdata = 1
enableonlinebucketrepair = 1
syncmeta = 1
frozentimeperiodinsecs=2592000
maxtotaldatasizemb = 15360
重啟splunk服務端
/opt/splunk/bin/splunk restart步驟三:
在頁面上檢視設定或者修改
點選右上角的設定,選擇索引
檢視索引大小已經和配置檔案裡一樣了,也可以直接在這裡編輯索引大小。
Splunk 索引器 資料儲存機制
splunk的索引器通過內部事件化處理機制,將傳入的資料轉換為事件,然後將其儲存在索引內部的資料桶中。索引器是用於建立和管理索引的元件,是splunk資料儲存的核心。索引器的主要功能是 1.為傳入的資料建立索引。2.搜尋索引資料。splunk會對傳入的資料進行事件化處理,將原始資料以各種不同的方式進...
Splunk 索引自動清理歷史資料
定位配置檔案,在splunk安裝目錄下搜尋檔案 indexes.conf 在要自動清理的索引配置下新增 frozentimeperiodinsecs 64000000 其中 64000000 為從當前往前推的秒數,時間超過此節點的資料轉換為凍結狀態,預設直接刪除。示例 索引windows的本地配置 ...
合理設定索引
索引查詢是資料庫中重要的記錄查詢方法,要不要進入索引以及在那些欄位上建立索引都要和實際資料庫系統的查詢要求結合來考慮,下面給出實際中的一些通用的原則 1.在經常用作過濾器的字段上建立索引 2.在 sql語句中經常進行 group by order by 的字段上建立索引 3.在不同值較少的字段上不必...