Splunk>Query: 5 måter å liste indekser på

Tradisjonell spørring 

I en tradisjonell enkel spørring hvor vi spesifiserer hvilke indekser som skal søkes igjennom, ber Splunk fjerne duplikater og setter resultatet opp i en tabell sortert alfabetisk så vil Splunk gå igjennom alle databasefilene til alle indekser som passer med tidsbegrensningen du har satt. 

Kjøringen av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgir Job inspector i Splunk at dette søket tok 55,078 sekunder. 

Denne spørringen er den tyngste av disse 5 ulike variantene. Og den gir deg en liste på hvilke indekser som er søkbare for brukeren som kjørte søket, men begrenset til der hvor det er indeksert data i den tidsperioden du spesifiserte. 

index=* OR index=_*  
| dedup index   
| table index  
| sort index 

Tstats

Tstats kan være et veldig bra alternativ til et tradisjonelt søk. Ved å bruke et tstats søk istedenfor, søker Splunk kun igjennom indekserte metadata og ikke de faktiske loggene, noe som gir en langt raskere søketid. 

Ved kjøring av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgir Job inspector i Splunk at dette søket tok kun 0,11 sekunder. 

Som i det tradisjonelle søket så vil tstats søket gi en liste på de indekser som er søkbare for brukeren som kjørte søket. Også her vil resultatet være begrenset til indekser hvor det finnes indekserte data i den spesifiserte tidsperioden. 

| tstats values(sourcetype) where (index=* OR index=_*) by index 
| fields - values(sourcetype) 
| sort index 

Eventcount

Eventcount er litt som navnet antyder, den returnerer antallet eventer i en spesifikk indeks. Legg til en fields kommando for å si at vi kun ønsker et spesifikt felt i sluttresultatet.  

Ved kjøring av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgit Job inspector i Splunk at dette søket tok kun 0,024 sekunder. 

Som ved søkene vi har vært igjennom over her så gir også eventcount en oversikt på de indeksene du har tilgang til, men uavhengig om det er indeksert data i de i valgt tidsperiode. Da eventcount returnerer antall eventer så vil den returnere null der hvor det ikke er noen eventer. Og slik så får en også med i listen de indeksene som ikke har data. 

| eventcount summarize=false index=* index=_*  
| fields index 

Dbinspect

Dbinspect returnerer informasjon om buckets i den spesifiserte indeksen. Den kan benyttes til å fortelle oss hvilke indekser som har fått eventdata i den valgte tidsperioden. 

Ved kjøring av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgir Job inspector i Splunk at dette søket tok kun 0,023 sekunder. 

I likhet med overnevte metoder, vil dbinspect gi de indeksene brukeren har tilgang til. I testmiljøet var det dbinspect som ga raskeste resultatet, men nå er det kanskje ikke så viktig når søkene tar brøkdelen av et sekund. 

| dbinspect index=* index=_* 
| fields index 

Splunk Rest Api

Rest spørringen krever dispatch_rest_to_indexers rettigheten i Splunk. Denne rettigheten er som standard kun skrudd på for admin rollen i Splunk Enterprise, men den er som standard IKKE skrudd på for sc_admin rollen i Splunk Cloud. 

Ved kjøring av dette søket i Splunk Enterprise lab miljø som admin og på siste 24 timer. Oppgir Job inspector i Splunk at dette søket tok kun 0,044 sekunder. 

I motsetning til de overnevnte søkene, gir rest spørringen samtlige indekser og ikke bare de som brukeren har tilgang til.  

| rest splunk_server=* /services/data/indexes 
| fields title