Splunk 是一款顶级的日志分析软件,如果你经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志,那么你需要 Splunk。能处理常规的日志格式,比如 apache、squid、系统日志、mail.log 这些。对所有日志先进行 index,然后可以交叉查询,支持复杂的查询语句。然后通过直观的方式表现出来。日志可以通过文件方式传倒 Splunk 服务器,也可以通过网络实时传输过去。或者是分布式的日志收集。总之支持多种日志收集方法。
将数据添加到 Splunk 部署后,数据将接受处理并转换为系列单独事件供您查看、搜索和分析。
事件,索引。
Splunk 平台接受任意类型的数据。尤其是所有 IT 流和历史数据。数据来源可以是事件⽇志、Web ⽇志、实时应⽤ 程序⽇志、⽹络源、系统指标、变更监视、消息队列、归档⽂件等等。
数据保存在哪⾥?
转换数据的过程称为编制索引。编制索引期间,将对传⼊数据进⾏处理,从⽽实现快速搜索和分析。处理的结果 以事件的形式存储在索引中。 索引是数据的平⾯⽂件存储库。对于本教程,索引驻留在您访问您 Splunk 部署的计算机中。 事件在索引中以⼀组⽂件的形式存储,这些⽂件分为两类:
原始数据,即您添加到 Splunk 部署的数据。原始数据以压缩格式存储。
索引⽂件,包含指向原始数据的⼀些元数据⽂件。
这些⽂件位于⼀组按时间组织的⽬录(称为数据桶)中。 默认情况下,所有数据都会存⼊单个、预配置的索引。另外还有⼏个⽤于内部的其他索引。