- 定位配置文件,在Splunk安裝目錄下搜索文件 indexes.conf
- 在搜索到的文件中根據路徑中對應的APP,選擇要更改的索引所在的配置文件,
找到位於 local 目錄下的 indexes.conf 配置文件,
注意不要動 default 目錄下的配置文件。 - 在要自動清理的索引配置下添加
frozenTimePeriodInSecs = 64000000
其中 64000000 為從當前往前推的秒數,時間超過此節點的數據轉換為凍結狀態,默認直接刪除。
示例:索引windows的本地配置
[windows]
homePath = $SPLUNK_DB/windows/db
coldPath = $SPLUNK_DB/windows/colddb
thawedPath = $SPLUNK_DB/windows/thaweddb
maxTotalDataSizeMB = 512000
maxHotBuckets = 10
frozenTimePeriodInSecs = 64000000