我有一个Splunk系统,该系统接收来自各种应用程序的日志,并将日志报告给每个应用程序的不同索引。 它变得难以维护索引,我的客户已要求将所有索引合并为一个索引。
我正在考虑为所有应用程序定义单个索引,并使用字段(app_id)标识来自不同应用程序的日志。这看起来像是一个逻辑解决方案。欢迎对此有任何想法。
答案 0 :(得分:0)
如果它适用于您的数据,则可以,请使用app_id。不要忘记,每个事件中都存在source和sourcetype字段。大多数站点使用sourcetype来按应用区分事件。