Splunk-managing-indexes
Splunk-インデックスの管理
インデックスは、検索対象のデータに数値アドレスを与えることにより、検索プロセスを高速化するメカニズムです。 Splunkのインデックス作成は、データベースのインデックス作成の概念に似ています。 Splunkをインストールすると、次の3つのデフォルトインデックスが作成されます。
- main -これは、処理されたすべてのデータが保存されるSplunkのデフォルトインデックスです。
- Internal -このインデックスは、Splunkの内部ログと処理メトリックが保存される場所です。
- audit -このインデックスには、ファイルシステム変更モニター、監査、およびすべてのユーザー履歴に関連するイベントが含まれます。
Splunkインデクサーはインデックスを作成および管理します。 Splunkにデータを追加すると、インデクサーはそれを処理し、指定されたインデックス(デフォルトでは、メインインデックスまたは指定したインデックス)に保存します。
インデックスの確認
Splunkにログインした後、[設定]→[インデックス]に移動すると、既存のインデックスを確認できます。 以下の画像はオプションを示しています。
インデックスをさらにクリックすると、Splunkですでにキャプチャされているデータに対してSplunkが保持しているインデックスのリストが表示されます。 以下の画像はそのようなリストを示しています。
新しいインデックスを作成する
Splunkに保存されているデータにより、希望するサイズの新しいインデックスを作成できます。 入ってくる追加データは、この新しく作成されたインデックスを使用できますが、検索機能は向上しています。 インデックスを作成する手順は、*設定→インデックス→新しいインデックス*です。 以下の画面が表示され、インデックスの名前やメモリの割り当てなどに言及します。
イベントのインデックス作成
上記のインデックスを作成した後、この特定のインデックスによってインデックス付けされるイベントを構成できます。 イベントタイプを選択します。 パス*設定→データ入力→ファイルとディレクトリ*を使用します。 次に、新しく作成したイベントに添付するイベントの特定のファイルを選択します。 次の画像でわかるように、index_web_appという名前のインデックスをこの特定のファイルに割り当てています。
