我有一个包含20个索引器的分布式Splunk部署。 我有多个要监视的日志文件。 我希望日志文件X由索引器1-15索引,日志文件Y由索引器16-20索引。 如何才能做到这一点?有可能吗?
我知道如何配置多个索引器或多个索引。我想知道如何将某些索引路由到一组索引器,将另一组索引路由到第二组索引器。
答案 0 :(得分:1)
如Splunk's Docs中所述,您所做的是在outputs.conf中配置两组索引器(您可能还希望将一个或另一个或其他一组索引器设置为默认值小组也是如此)。然后在inputs.conf中,您可以将_TCP_ROUTING设置为指向一个或另一组索引器。