Splunk 索引自动清理历史数据

  1. 定位配置文件,在Splunk安装目录下搜索文件 indexes.conf
  2. 在搜索到的文件中根据路径中对应的APP,选择要更改的索引所在的配置文件,
    找到位于 local 目录下的 indexes.conf 配置文件,
    注意不要动 default 目录下的配置文件。
  3. 在要自动清理的索引配置下添加
    frozenTimePeriodInSecs = 64000000
    其中 64000000 为从当前往前推的秒数,时间超过此节点的数据转换为冻结状态,默认直接删除。

示例:索引windows的本地配置

[windows]
homePath = $SPLUNK_DB/windows/db
coldPath = $SPLUNK_DB/windows/colddb
thawedPath = $SPLUNK_DB/windows/thaweddb
maxTotalDataSizeMB = 512000
maxHotBuckets = 10
frozenTimePeriodInSecs = 64000000
posted @ 2020-07-22 15:03  太晓  阅读(1313)  评论(0编辑  收藏  举报