Splunk의 Index란?
Index는 Splunk 데이터를 위한 저장소이다. Splunk는 수신된 데이터를 이벤트로 변환하여 인덱스에 저장한다.
Splunk는 인덱싱 과정에서 데이터 스트림을 검색 가능한 개별 이벤트로 분리, 타임스탬프 만들기 또는 식별, host, source, sourcetype 등의 필드 추출, 수신 데이터에 대한 사용자 정의 작업 수행(예: 사용자 지정 필드 식별, 중요한 데이터 마스킹, 새로운 키 또는 수정된 키 쓰기, 원하지 않는 이벤트 필터링 등) 등의 방식으로 데이터를 개선한다. 그 후 압축형 원시 데이터(원시 데이터), 인덱스 파일(tsidx 파일이라고도 함)을 가리키는 인덱스와 일부 메타데이터 파일이 있는 한 묶음의 파일을 생성한다. (참고 및 자세한 사항 - http://docs.splunk.com/images/b/b4/Splunk-6.2.0-ko_KO-Indexer.pdf)
1. Index 생성
1) Splunk 페이지에서 우측 상단의 설정 버튼을 누른다. 나타난 창에서 데이터 항목내의 인덱스를 선택한다.
2) 인덱스들의 목록에 대한 창이 나온다. 새로운 인덱스를 생성하기 위해 우측 상단의 새로 만들기 인덱스 버튼을 클릭한다.
3) 새 인덱스를 만들기 위한 정보를 만드는 창이 나타나면 인덱스의 이름을 지정해주고, 인덱싱 후 데이터가 저장될 경로를 따로 지정해 주고 싶으면 홈 경로 항목에 데이터를 저장할 경로를 입력한다. 하단의 앱 항목에서 인덱스 정보를 저장할 앱을 선택해 주고 저장버튼을 클릭한다.
4) 인덱스가 잘 생성되면 인덱스 목록에 새로 생성한 인덱스가 추가가 된다.
'Dev > Splunk' 카테고리의 다른 글
| [Splunk] Splunk 서비스 페이지 화면 소개 (0) | 2017.11.10 |
|---|---|
| [Splunk] 데이터 입력 (0) | 2017.11.09 |
| [Splunk] 앱 등록 (0) | 2017.11.01 |
| [Splunk] Splunk 설치 및 실행 (0) | 2017.10.31 |
| [Splunk] Splunk 기능 및 용어 설명 (0) | 2017.10.31 |