Splunk 概述

What is Splunk

• 机器数据全文搜索引擎
• 准实时的日志处理平台
• 基于时间序列的索引器
• 大数据分析平台
• 一体化的平台 :采集==>存储==>分析==>可视化
• 通用的搜索引擎, 不限数据源,不限数据格式
• 专利的专用搜索语言SPL(Search Processing Language),
• Splunk Apps提供很多功能

 

机器数据:设备的软件提供的非结构化数据

 

组件

索引器:是索引实例,将原始数据转投为事件,将将事件存储在索引中;还搜索索引数据,以响应搜索请求

搜救头 在分布式环境中,处理搜索管理功能,指引搜索请求到一组搜索 节点,然后将结果合并并返回到用户的实例.如果该实例只搜索不索引,通常称为专用搜索头

搜索节点:在分布式环境中,建立索引并完成源自搜索头搜索请求的实例

转发器: 将数据转发到另一个实例

接收器:是经配置从转发器接收数据的实例.为索引器或另一个转发器

应用:是配置,知识对象和客户设计的视图和仪表板的集合.

 

转发器:Heavy,light and Universal(经常用) 三种类型

Universal(通用转发器):

1. 没有搜索,索引,告警功能
2. 不解析数据
3. 不通过syslog 输出数据
4. 不包含捆绑的python 版本

开发平台

http://dev.splunk.com