我对在splunk中设置摘要索引有些困惑。我有一个索引名称index_1,它从我的应用程序接收日志。日志太多,我需要保存它们的汇总。
我尝试将摘要索引从here设置为索引名称summary,但是当我搜索索引时,没有日志条目。
我的搜索如下:
index=index_1 ... level>30
我不知道何时使用collect命令以及何时从Web ui进行设置就足够了。
您的搜索,index=index_1 ... level>30应该减少返回的事件数,并且仅减少要存储在摘要索引中的事件。在这种情况下,您似乎只想将事件保留在level>30。
在搜索结束时,您需要包括collect命令。 collect命令将接收其余事件,并将其写入命名索引,因此collect index=summary
总体来说,您的搜索应该看起来像
index=index_1 ... level>30 | collect index=summary
[这是一篇较旧的博客文章,讨论摘要索引,它可以帮助您了解使用它的过程和良好实践。https://davidveuve.com/tech/how-i-use-summary-indexes-in-splunk/