製品・サービス
製品
サービス
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
_auditインデックスのサイズを縮小する方法
- 公開日
- 2015-08-10
- 最終更新日
- 2024-03-04
- バージョン
- Splunk Enterprise 9.0.4
- 概要
- _auditインデックスのサイズを縮小する方法について説明します。
- 内容
-
_auditインデックスについて
_auditインデックスには主にSplunkの動作履歴が内部ログとして蓄積されます。
_auditインデックスは、インストール直後、次のように設定されています。
インデックス名:_audit
最大サイズ:500,000MB (≒ 500GB)
保持期間:約6年利用状況により、増加量は異なりますが、長期間の運用を継続する事でディスク容量を圧迫する事につながる可能性があります。
_auditインデックスの最大サイズ変更手順
- SplunkWebにadminロールのユーザーでログインします。
- 右上の「設定」メニューから、「インデックス」を選択します。
- インデックスの一覧から、「_audit」をクリックします。
- 「インデックス全体の最大サイズ(MB)」を適切な値へ変更します。
- 「保存」ボタンをクリックします。
これにより、Splunkはサービスの再起動なしに、_auditインデックスの最大サイズの変更を行います。
ここで指定したサイズが、現在のインデックスサイズよりも小さい場合、超過した分の過去のデータが削除されますので、ご注意ください。
以上
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
平日 9:00~17:00
