1.在Splunk安装目录下搜索文件 indexes.conf
2.在搜索到的文件中根据路径确定对应的APP,
找到位于 local 目录下的 indexes.conf 配置文件,
不要动 default 目录下的配置文件。
3.在要自动清理的索引配置下添加
frozenTimePeriodInSecs = 64000000
其中 64000000 为从当前往前推的秒数,时间超过此节点的数据转换为冻结状态,默认直接删除。
示例:索引windows的本地配置
[windows]
homePath = $SPLUNK_DB/windows/db
coldPath = $SPLUNK_DB/windows/colddb
thawedPath = $SPLUNK_DB/windows/thaweddb
maxTotalDataSizeMB = 512000
maxHotBuckets = 10
frozenTimePeriodInSecs = 16000000