ども。 Splunkを使っていてDiskがいっぱいになりそうだったので、
その対処法を調べたので。メモです。
もくじ
容量制限をかけるには『indexes.conf』
どうやら、『indexes.conf』で、設定できると。ファイルの場所は: $SPLUNKHOME/etc/system/defaultに、あるので。
$SPLUNKHOME/etc/system/local
にコピーして、使いましょう~indexes.conf - Splunk Documentation
確かに、英語でよく理解はできていないけど。書いてある!
maxTotalDataSizeMB =* The maximum size of an index (in MB). * If an index grows larger than the maximum size, the oldest data is frozen. * This parameter only applies to hot, warm, and cold buckets. It does not apply to thawed buckets. * Highest legal value is 4294967295 * Defaults to 500000.
デフォルトでは、500GBに設定されているので、
増やしたければ大きくして、減らしたければ小さくすればOKです!
今回は減らしたのですが、しっかり縮小されました~
例:
maxTotalDataSizeMB = 30000
変更値だけなので、上記のように1行だけでも大丈夫です。
参考
こちらのAnswerを参考にしました。ちなみに、「Accepted Answer」じゃなくて、他に回答されている内容から拾いましたけどねw
How to free up disk space?
