我正在调查一个实例,该实例看到报告的索引使用率有所上升但没有看到相应的数据增加。
大约7台(总共100台)机器发送系统日志数据,许可证报告显示数量(超过正常机器的10倍),但如果我从这些主机查询数据,我发现很少数据或没有数据。
我已经确认我正在搜索所有存在的索引。我还确认这些机器通过阻止UDP端口出站并确认splunk停止接收数据来发送数据。
我接下来的步骤是: 尝试在机器源确认它发送的UDP数据量,并与索引器记录的数量进行比较 确认设备运行良好的机器,以确保系统或系统日志配置中没有一些增量导致生成大量数据。
是否有人建议对索引器记录但未实际存储的数据进行故障排除?我想知道这些主机是否可能如此嘈杂,以至于它们在保存事件时被切断了。
由于
答案 0 :(得分:0)
检查磁盘上的$ SPLUNK_HOME / var / lib / splunk,确保目标索引的大小增加。
确保您搜索的是允许搜索所有索引的用户。
通过搜索所有时间或最新= + 24h检查您是否有时间戳或时区问题。 Splunk将拒绝索引与时间有关的数据,但我不认为它会在license_usage.log中显示,如果是这样的话。