What is Splunk
- 机器数据全文搜索引擎
- 准实时的日志处理平台
- 基于时间序列的索引器
- 大数据分析平台
- 一体化的平台 :采集==>存储==>分析==>可视化
- 通用的搜索引擎, 不限数据源,不限数据格式
- 专利的专用搜索语言SPL(Search Processing Language),
- Splunk Apps提供很多功能
机器数据:设备的软件提供的非结构化数据
组件
索引器:是索引实例,将原始数据转投为事件,将将事件存储在索引中;还搜索索引数据,以响应搜索请求
搜救头 在分布式环境中,处理搜索管理功能,指引搜索请求到一组搜索 节点,然后将结果合并并返回到用户的实例.如果该实例只搜索不索引,通常称为专用搜索头
搜索节点:在分布式环境中,建立索引并完成源自搜索头搜索请求的实例
转发器: 将数据转发到另一个实例
接收器:是经配置从转发器接收数据的实例.为索引器或另一个转发器
应用:是配置,知识对象和客户设计的视图和仪表板的集合.
转发器:Heavy,light and Universal(经常用) 三种类型
Universal(通用转发器):
- 没有搜索,索引,告警功能
- 不解析数据
- 不通过syslog 输出数据
- 不包含捆绑的python 版本
开发平台
http://dev.splunk.com