- 定位配置文件,在Splunk安装目录下搜索文件 indexes.conf
- 在搜索到的文件中根据路径中对应的APP,选择要更改的索引所在的配置文件,
找到位于 local 目录下的 indexes.conf 配置文件,
注意不要动 default 目录下的配置文件。 - 在要自动清理的索引配置下添加
frozenTimePeriodInSecs = 64000000
其中 64000000 为从当前往前推的秒数,时间超过此节点的数据转换为冻结状态,默认直接删除。
示例:索引windows的本地配置
[windows]
homePath = $SPLUNK_DB/windows/db
coldPath = $SPLUNK_DB/windows/colddb
thawedPath = $SPLUNK_DB/windows/thaweddb
maxTotalDataSizeMB = 512000
maxHotBuckets = 10
frozenTimePeriodInSecs = 64000000