2016年12月8日木曜日

Splunkで保存データの容量を制御する方法


ども。 Splunkを使っていてDiskがいっぱいになりそうだったので、
その対処法を調べたので。メモです。


もくじ



容量制限をかけるには『indexes.conf』

どうやら、『indexes.conf』で、設定できると。

ファイルの場所は: $SPLUNKHOME/etc/system/defaultに、あるので。
$SPLUNKHOME/etc/system/local
にコピーして、使いましょう~

indexes.conf - Splunk Documentation
確かに、英語でよく理解はできていないけど。書いてある!
maxTotalDataSizeMB = 
* The maximum size of an index (in MB).
* If an index grows larger than the maximum size, the oldest data is frozen.
* This parameter only applies to hot, warm, and cold buckets.  It does not
  apply to thawed buckets.
* Highest legal value is 4294967295
* Defaults to 500000.

デフォルトでは、500GBに設定されているので、
増やしたければ大きくして、減らしたければ小さくすればOKです!

今回は減らしたのですが、しっかり縮小されました~

例:
maxTotalDataSizeMB = 30000

変更値だけなので、上記のように1行だけでも大丈夫です。

参考

こちらのAnswerを参考にしました。
ちなみに、「Accepted Answer」じゃなくて、他に回答されている内容から拾いましたけどねw
How to free up disk space?

Zenback