搜索技术差异分析

《搜索技术差异分析》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、Splunk搜索技术Splunk可以搜索：原始事件搜索、报表牛成搜索，并可在搜索中口动学习“知识”，用户也对以口定义知识，从而使搜索越来越智能。原始事件搜索是只从一个或多个索引中检索爭件，通常适用于需要分析问题的情况的搜索。此类搜索的-•些示例包括：检查错误代码、相关事件、调查安全问题和分析故障。这些搜索通常并不包含搜索命令（search命令本身除外），而口结果通常是一个原始事件的列表。报表牛成搜索是对一组结果执行某种类型的统计计算的搜索。在此类搜索中，首先从索引中检索事件，然后将这些事件传递一个或多个搜索命令。这些搜索始终耍求字

2、段和至少一组统计命令之一Splunk索引Splunk在创建数据前，先建立索引，索引是Splunk数据的存储库。Splunk将传入数据转换为事件，然后将其存储在索引中。数据桶Splunk为您的数据创建索引吋，会创建许多文件。这些文件可分为两种类别：压缩形式的原始数据（原始数据）和指向原始数据的索引加上部分元数据文件（索引文件）。这两类文件共同组成了Splunk索引，这些文件驻留在按时间组织的kl录集中。这些H录称为数据桶。部分忖录包含新建索引的数据；其他H录包含以前索引的数据。此类忖录的数量会变得相当大，取决于您要创建索引的数据量。

3、默认情况下，Splunk按照通过多个阶段使数据慢慢老化的方式來处理已索引的数据。在经过一长段时间（通常为几年）后，Splunk将从系统中删除旧数据。数据桶在老化时会经历多个阶段：热、温、冷、冻结。当数据桶老化吋，它们从一个阶段“滚动”到下一个阶段。新建索引的数据会进入热数据桶，对对该数据桶执行搜索以及主动向其中写入内容。当热数据桶达到特定大小时，将成为温数据桶（“滚动到温数据桶”），并将创建一个新的热数据桶。温数据桶是可搜索的，但不能主动向其中写入内容。温数据桶会有许多个。当Splunk创建的温数据桶数量达到最大值时，会开始基于时

4、间将温数据桶滚动到冷数据桶。吋间最长的温数据桶会始终滚动到冷数据桶。当数据桶老化吋，它们将继续以此方式滚动到冷数据桶。在经过设定的一段吋间后，冷数据桶滚动到冻结数据桶，此吋对它们执行存档或删除操作。通过编辑indexes.conf中的属性，可指定数据桶老化策略，用于确定数据桶何时从一个阶段移动到下一个阶段。数据桶阶段描述是否可搜索？热包含新建东引的数拯.・允许写入.每个寮引存在一个或多个热数抿桶.是温从热数損桶滾动来的数抵.有许多个沮数播桶.是冷从遛数据桶滚动来的数据.有许多个冷数捱桶.是从冷数摇桶滾动束的数据歩认悄况下•Splu

5、nk将*碌冻绘的数倨•但您也可將其归档・.可在以后将己归裆数据朋冻.否索引目录的结构每个数据桶都占用一个较大数据库目录中自己的子目录。Splunk会组织目录以区分热/温/冷数据桶。此外，数据桶目录名称基于数据存在的时间。卜面是/认索引的目录结构(leiauiLdi.):数据桶类型!热多定」在约VI存名心可命温$一冷不目中的er1分JHlddb拱构新rpe目部附®sfste^冷％:L蜩枷潮翊沖艸个命IWK俗拍対伸ste羊敎多主H冲ItTa^^USon有会注录但所热上d中的冻结£解冻温/冷数摇桶命名约定数据桶名称可标识数据桶所包含数据

6、的时间范围，命名约定会略启不同•具体取决于数据桶的索引器作为計集对等节虑运行时该数据桶是否滚动到温数抿桶》•对于非群集数据桶：db__•对于計集原始数据桶副本：db•对于榊集复制的数据桶副本：rb81F■O^JM6TJT2t_l2W33eM.I0tJA.IJTWtJWIjmUtJM.OOA.l376661064.1JTM4I3MJ」4bJJTB625W3J

7、JTO«t3e06^」A.l3T«S42283_13TWrtlOT_3〜j?ane?」m&iaT,Q4】376602932.13T6872660.5Q0」37WWITO」3T6W3068.5】A.137WO2S59.1376893613_T^jAjHMOCijjyreaceai.s、」376905W3_!3T6226133.9oa>.l37W06612J376X6638」I】dbJ3769TO672.1JT6634421.12QdbJ3?696013tj3Te97C6T6.13OdbJ37696M16.13T69€0136J4

8、o4b.l3770*1712」316963422」5_Ji^obalB«taD«taQhot.rljeRbuclMtRuufttlSr«•$!!•ttcdleaifoilI目iJTm299»-l3^0*381>1m35«3IO6<«▼4«t«S

9、•