Splunk: gestión de índices

La indexación es un mecanismo para acelerar el proceso de búsqueda al proporcionar direcciones numéricas a los datos que se buscan. La indexación de Splunk es similar al concepto de indexación en bases de datos. La instalación de Splunk crea tres índices predeterminados de la siguiente manera.

  • main - Este es el índice predeterminado de Splunk donde se almacenan todos los datos procesados.

  • Internal - Este índice es donde se almacenan los registros internos y las métricas de procesamiento de Splunk.

  • audit - Este índice contiene eventos relacionados con el supervisor de cambios del sistema de archivos, la auditoría y todo el historial del usuario.

Los indexadores de Splunk crean y mantienen los índices. Cuando agrega datos a Splunk, el indexador los procesa y los almacena en un índice designado (ya sea, por defecto, en el índice principal o en el que usted identifica).

Comprobación de índices

Podemos echar un vistazo a los índices existentes yendo a Settings → Indexesdespués de iniciar sesión en Splunk. La siguiente imagen muestra la opción.

Al hacer más clic en los índices, podemos ver la lista de índices que Splunk mantiene para los datos que ya están capturados en Splunk. La siguiente imagen muestra dicha lista.

Crear un índice nuevo

Podemos crear un nuevo índice con el tamaño deseado por los datos que se almacenan en Splunk. Los datos adicionales que ingresan pueden usar este índice recién creado pero una mejor funcionalidad de búsqueda. Los pasos para crear un índice sonSettings → Indexes → New Index. Aparece la siguiente pantalla donde mencionamos el nombre del índice y la asignación de memoria, etc.

Indexación de eventos

Después de crear el índice anterior, podemos configurar los eventos para que sean indexados por este índice específico. Elegimos el tipo de evento. Usa el caminoSettings → Data Inputs → Files & Directories. Luego elegimos el archivo específico de los eventos que queremos adjuntar al evento recién creado. Como puede ver en la imagen de abajo, hemos asignado el índice llamado index_web_app a este archivo específico.