O Splunk atualizará o índice se um arquivo já indexado for editado?

Navegue suas respostas
2

Nosso servidor Splunk indexa os logs de auditoria de seus clientes. Uma vez por semana, auditamos esses registros por meio de uma pesquisa do Splunk. Minha pergunta é, se alguém edita as entradas em um arquivo de log que já está indexado, o Splunk indexaria novamente o arquivo editado e sobrescreveria a entrada antiga no índice ou o Splunk manteria ambas as entradas (uma antes da edição e outra after-the-edit). O que estou tentando confirmar aqui é, se eu olhar os logs de auditoria do mês passado através do Splunk, e alguém remover uma entrada do arquivo de log original somente na semana passada, a entrada que alguém excluiu ainda apareceria em uma pesquisa do Splunk? ?

    
por Sree 07.12.2017 / 11:19

1 resposta

2

Meu entendimento é que, se alguém editasse um arquivo de log, o Splunk reindexaria o arquivo, dependendo da natureza da edição. (Mais informações sobre como o Splunk decide se reindexar um arquivo podem ser encontradas em link ) .

No entanto, mesmo que o Splunk reindexe um arquivo de log, o arquivo de log ainda existiria no índice do Splunk, como era quando originalmente indexado, e uma segunda cópia das entradas de log existiria no índice do Splunk. p>

Assim, mesmo que alguém remova uma entrada de log, ela permanecerá no índice do Splunk.

    
por 01.02.2018 / 19:49

Tags

Dovecot pw generation mismatch AWS EC2: Como recuperar dados de uma instância do Linux falha com um volume lógico compreendendo vários volumes de armazenamento?