你能帮我计算一下summay索引的时间戳吗?我们有磁盘空间问题,我们正在清除旧日志。但是我们想要保留一些现场数据,所以如果要安排一个 SI,那么它是否会一次添加过去 1 个月的数据..那么为什么我们需要安排它呢?已经浏览了splunk文档但无法理解步骤和逻辑..
问问题
612 次
1 回答
0
摘要索引的想法是存储搜索结果,直到以后的搜索需要它们。典型的例子是月末报告。与其在 30 天内进行大规模搜索以将每天的数千个事件压缩成最终报告,不如将每日搜索将当天的事件压缩成一个 SI,然后在第 30 天运行月度报告以读取 30 个摘要事件将 SI 转换为快速运行的报告。然后可以将相同的 SI 用于周终报告,并使用每日销售(或其他)数据填充仪表板。
关键是使汇总小于原始数据。不能将 1 个月的数据转储到 SI 中并希望节省空间——这不会发生。
摘要索引可以通过在丢弃原始事件很长时间后保留较小的摘要数据集来帮助节省磁盘空间。
不必安排摘要,但这是生成它们的最常见方式。这意味着没有人必须记住每天运行每日销售报告才能获得月度销售报告。collect也就是说,可以使用该命令在临时搜索中将事件写入摘要索引。
于 2021-03-22T23:33:32.823 回答