Syslog splunk许可证报告使用情况,但没有数据
我正在调查一个实例,它看到报告的索引使用率上升,但没有看到相应的数据增加 大约有7台(总共100多台)机器发送系统日志数据许可证报告显示了大量(超过“正常机器”的10倍)的数据使用情况,但如果我查询这些主机的数据,我会发现数据很少或根本没有数据 我已经确认我正在搜索所有存在的索引。我还通过阻止UDP端口出站并确认splunk停止接收数据来确认这些机器正在发送数据 我的下一步是: 尝试在计算机源上确认发送的UDP数据量,并与索引器记录的数据量进行比较 确认行为不稳定的机器的设置,以确保系统或系统日志配置中没有导致生成大量数据的增量 是否有人对索引器记录但未实际存储的数据的故障排除有建议?我想知道这些主持人是否太吵闹了,以至于为了挽救他们的活动,他们实际上被切断了联系Syslog splunk许可证报告使用情况,但没有数据,syslog,splunk,Syslog,Splunk,我正在调查一个实例,它看到报告的索引使用率上升,但没有看到相应的数据增加 大约有7台(总共100多台)机器发送系统日志数据许可证报告显示了大量(超过“正常机器”的10倍)的数据使用情况,但如果我查询这些主机的数据,我会发现数据很少或根本没有数据 我已经确认我正在搜索所有存在的索引。我还通过阻止UDP端口出站并确认splunk停止接收数据来确认这些机器正在发送数据 我的下一步是: 尝试在计算机源上确认发送的UDP数据量,并与索引器记录的数据量进行比较 确认行为不稳定的机器的设置,以确保系统或系统日
谢谢检查磁盘上的$SPLUNK_HOME/var/lib/SPLUNK,确保目标索引的大小增加 确保您以允许搜索所有索引的用户身份进行搜索 通过搜索所有时间或使用latest=+24小时来检查是否存在时间戳或时区问题。Splunk将拒绝索引那些在时间上远远超出范围的数据,但我不认为它在license_usage.log中显示了这一点,如果是这样的话