Можно ли сделать так, чтобы разные файлы журналов переходили к разным индексаторам в Splunk?

У меня распределенное развертывание Splunk с 20 индексаторами. У меня есть несколько файлов журнала, которые нужно отслеживать. Я хочу, чтобы файл журнала X индексировался индексаторами 1-15, а файл журнала Y индексировался индексаторами 16-20. Как это может быть сделано? Это вообще возможно?

Я знаю, как настроить несколько индексаторов или несколько индексов. Я хотел бы знать, как направить определенные индексы одной группе индексаторов, а другой набор индексов - второй группе индексаторов.


splunk indexer
person Sudip Gautam    schedule 21.05.2015    source источник
comment
вы создаете два приложения Splunk, которые развертываете в каждой группе соответственно ...   -  person Oerd    schedule 25.05.2015
comment
@Oerd - количество приложений, которые у вас есть, здесь ни на что не влияет. Хотя это может быть удобным способом организации конфигурации для ментальной модели, для этой конфигурации времени ввода / индекса все настройки, которые у вас есть во всех включенных приложениях, объединяются в единую конфигурацию правилами глобального контекста до вступления в силу.   -  person Charlie    schedule 02.06.2015

Ответы (1)


arrow_upward
1
arrow_downward

Как описано в разделе What do Splunk, если вы настраиваете обе группы индексаторов в outputs.conf (вы, вероятно, захотите также установить одну или другую или какую-либо другую группу индексаторов в качестве группы по умолчанию). Затем в inputs.conf вы можете установить _TCP_ROUTING, чтобы он указывал на ту или иную группу индексаторов.

person Charlie    schedule 02.06.2015
comment
Спасибо, но я разобрался в документации по splunk. - person Sudip Gautam; 04.06.2015