只是為了記錄一些Splunk 方面的一些信息
優(yōu)化 Splunk 以獲得高性能 以獲得高性能
與許多服務(wù)一樣,在 Windows 上的 Splunk 也需要適當(dāng)?shù)木S護(hù)须喂,以便保持高性能運(yùn)行馋袜。本主題介紹您可以在部署期間 或之后采用哪些方法來(lái)確保在 Windows 上的 Splunk 能夠正常運(yùn)行黄娘。
要確保 Splunk 高性能運(yùn)行:
- 指定一臺(tái)或多臺(tái)計(jì)算機(jī)來(lái)運(yùn)行 Splunk伶贰。Splunk 具有水平或橫向伸縮性迅脐。這意味著通過(guò)增加運(yùn)行 Splunk 的計(jì)算 機(jī)臺(tái)數(shù)愁溜,而不是增加單臺(tái)計(jì)算機(jī)的資源疾嗅,可以獲得更高的性能。如可行冕象,應(yīng)拆分建立索引和搜索活動(dòng)并在多臺(tái) 計(jì)算機(jī)上運(yùn)行代承,在這些計(jì)算機(jī)上只運(yùn)行主要的 Splunk 服務(wù)。除了通用轉(zhuǎn)發(fā)器之外交惯,如果在運(yùn)行與其他服務(wù)共享 的服務(wù)器上運(yùn)行 Splunk次泽,則性能會(huì)降低。
- 針對(duì)您的 Splunk 索引使用專用高速磁盤席爽。用于 Splunk 建立索引的系統(tǒng)可用磁盤越快意荤,Splunk 的運(yùn)行速度也越 快。如可行只锻,使用主軸轉(zhuǎn)速超過(guò) 10,000 RPM 的磁盤玖像。如需針對(duì) Splunk 使用冗余存儲(chǔ),使用基于硬件的 RAID 1+0(也稱為 RAID 10)。它提供了速度和冗余性之間的最佳平衡捐寥。不建議使用通過(guò) Windows 磁盤管理工具提 供的基于軟件的 RAID 配置笤昨。
- 不允許防毒程序掃描用于運(yùn)行 Splunk 作業(yè)的磁盤。當(dāng)防毒文件系統(tǒng)驅(qū)動(dòng)器對(duì)訪問(wèn)文件執(zhí)行病毒掃描時(shí)握恳,性能 會(huì)顯著降低瞒窒,尤其是當(dāng) Splunk 內(nèi)部老化最近建立索引的數(shù)據(jù)時(shí)。如果您必須在運(yùn)行 Splunk 的服務(wù)器上使用防 毒程序乡洼,則必須確保 所 有 Splunk 目錄和程序被排除在訪問(wèn)文件時(shí)的掃描之外崇裁。
- 如可用,使用多個(gè)索引束昵。將由 Splunk 建立索引的數(shù)據(jù)分散到不同索引中拔稳。將所有數(shù)據(jù)發(fā)送到默認(rèn)索引可能會(huì)導(dǎo) 致您的系統(tǒng)出現(xiàn) I/O 瓶頸問(wèn)題。應(yīng)根據(jù)情況配置您的索引锹雏,以使其盡量指向系統(tǒng)中的不同物理卷巴比。有關(guān)如何配 置索引的更多信息,請(qǐng)參閱本手冊(cè)中的“配置您的索引”礁遵。
- 不要將您的索引存儲(chǔ)在操作系統(tǒng)所在的同一物理磁盤或分區(qū)上轻绞。不建議將存儲(chǔ)有 Windows 操作系統(tǒng)目錄 (%WINDIR%) 或其交換文件的磁盤用于 Splunk 數(shù)據(jù)存儲(chǔ)。應(yīng)將您的 Splunk 索引存儲(chǔ)在系統(tǒng)中的其他磁盤上榛丢。
有關(guān)索引存儲(chǔ)方式的更多信息铲球,包括數(shù)據(jù)庫(kù)數(shù)據(jù)桶類型以及 Splunk 如何存儲(chǔ)與老化這些項(xiàng)目的信息,請(qǐng)閱讀本手冊(cè) 中的“Splunk 如何存儲(chǔ)索引”晰赞。
- 不要將您的 Splunk 索引的熱/溫?cái)?shù)據(jù)桶存儲(chǔ)在網(wǎng)絡(luò)卷上稼病。網(wǎng)絡(luò)延遲將導(dǎo)致性能顯著降低。應(yīng)采用高速掖鱼、本地磁 盤來(lái)存儲(chǔ)您的 Splunk 索引的熱/溫?cái)?shù)據(jù)桶然走。對(duì)于冷/凍結(jié)的索引數(shù)據(jù)桶,您可以指定網(wǎng)絡(luò)共享戏挡,例如分布式文件 系統(tǒng) (DFS) 卷或網(wǎng)絡(luò)文件系統(tǒng) (NFS) 裝入點(diǎn)芍瑞,但應(yīng)注意,如果搜索包含那些存儲(chǔ)在冷數(shù)據(jù)桶中的數(shù)據(jù)褐墅,則速度 會(huì)變慢拆檬。
- 保持您的 Splunk 索引器的磁盤可用性、帶寬和可用空間妥凳。確保用于存儲(chǔ) Splunk 索引的磁盤卷始終具有 20% 或以上的可用空間竟贯。磁盤性能隨可用空間的減少而成比例降低,因?yàn)檫@時(shí)磁盤尋道時(shí)間會(huì)增加逝钥。這會(huì)影響 Splunk 建立數(shù)據(jù)索引的速度屑那,并決定了搜索結(jié)果、報(bào)告和告警的返回速度。在默認(rèn)的 Splunk 安裝中持际,用于包 含您索引的驅(qū)動(dòng)器必須至少有 5,000 MB(約 5 GB)的可用磁盤空間沃琅,否則建立索引操作將暫停。
