Splunk（3）配置优化

Splunk Server优化

迁移所有索引数据到指定目录

因为通常日志文件数量很大，所以希望能够挂在一个大容量的磁盘上。可以通过修改indexes.conf文件来实现。

现在需要把所有的索引数据都迁移到/data/splunk/indexes/目录下，步骤如下：

1. 停止Splunk服务：

sudo $SPLUNK_HOME/bin/splunk stop

2. 创建新的索引目录：

sudo mkdir -p /data/splunk/indexes
sudo chown -R ubuntu:ubuntu /data/splunk

3. 配置环境变量

export SPLUNK_DB=/data/splunk/indexes

4. 修改splunk-launch.conf文件

在$SPLUNK_HOME/etc/splunk-launch.conf文件中添加以下内容：

# By default, Splunk stores its indexes under SPLUNK_HOME in the
# var/lib/splunk subdirectory.  This can be overridden
# here:
#
SPLUNK_DB=/data/splunk/indexes

5. 移动所有索引数据到新目录：

sudo mv $SPLUNK_HOME/var/lib/splunk/* /data/splunk/indexes/

6. 启动Splunk服务：

sudo $SPLUNK_HOME/bin/splunk start  

Universal Forwarder优化

Universal forward的配置文件在$SPLUNK_HOME/etc/system/local/目录下，主要配置文件有：

• inputs.conf：配置数据输入源
• outputs.conf：配置数据输出目标
• server.conf：配置连接和性能
• deploymentclient.conf: 配置连接到部署的服务

输出压缩

在outputs.conf中启用压缩：

[tcpout]
compressed = true

然后重启Universal Forwarder：

sudo /opt/splunkforwarder/bin/splunk restart

启用压缩会减少网络带宽使用，但会增加CPU负载。

参考

Configure the universal forwarder using configuration files
Configure forwarding with outputs.conf
List of configuration files