Splunk – Gestión de índices
AREAtutorial » Big Data & Analitycs » Splunk – Gestión de índices
La indexación es un mecanismo para acelerar el proceso de búsqueda al asignar direcciones numéricas a los datos que se buscan. La indexación de Splunk es similar al concepto de indexación en bases de datos. La instalación de Splunk crea tres índices predeterminados como se muestra a continuación.
principal – Este es el índice de Splunk predeterminado que almacena todos los datos procesados.
Interior – Este índice almacena registros internos y métricas de procesamiento de Splunk.
auditoría – Este índice contiene eventos relacionados con el supervisor de cambios del sistema de archivos, la auditoría y todo el historial del usuario.
Los indexadores de Splunk crean y mantienen índices. Cuando agrega datos a Splunk, el indexador los procesa y los almacena en el índice especificado (por defecto en el índice principal o en el que usted especifique).
Podemos echar un vistazo a los índices existentes yendo a Configuración → Índices después de entrar a Splunk. La siguiente imagen muestra una variante.
Al hacer más clic en los índices, podemos ver una lista de índices que Splunk admite para los datos que ya están escritos en Splunk. La siguiente imagen muestra una lista de este tipo.
Podemos crear un nuevo índice del tamaño deseado a partir de los datos almacenados en Splunk. Los datos adicionales que ingresan pueden usar este índice recién creado, pero con una funcionalidad de búsqueda mejorada. Pasos para crear un índice: Configuración -> Índices -> Nuevo índice… Aparecerá la siguiente pantalla donde mencionamos el nombre del índice, la asignación de memoria, etc.
Después de crear el índice anterior, podemos configurar los eventos que serán indexados por ese índice específico. Elección del tipo de evento. Usa el camino Configuración -> Entrada de datos -> Archivos y directorios… Luego seleccionamos el archivo de evento específico que queremos adjuntar al evento recién creado. Como puede ver en la imagen a continuación, asignamos a este archivo en particular un índice llamado index_web_app.
🚫