すでにインデックスが作成されているファイルが編集された場合、Splunkはインデックスを更新しますか?
Splunkサーバーは、クライアントからの監査ログにインデックスを付けます。週に1回、Splunk検索を通じてこれらのログを監査します。私の質問は、誰かがすでにインデックス付けされているログファイルのエントリを編集した場合、Splunkは編集されたファイルのインデックスを再作成してインデックス内の古いエントリを上書きするか、Splunkは両方のエントリ(編集前と1つ)を保持するかどうかです。編集後)。ここで確認しようとしているのは、先月の監査ログをSplunkで確認し、誰かが先週だけ元のログファイルのエントリを削除した場合、誰かが削除したエントリは引き続きSplunk検索に表示されるということです。 ?
私の理解では、誰かがログファイルを編集する場合、Splunkがファイルのインデックスを再作成するかどうかは、編集の性質に依存します。 (Splunkがファイルのインデックスを再作成するかどうかを決定する方法の詳細については、 http://docs.splunk.com/Documentation/Splunk/7.0.2/Data/Howlogfilerotationishandled を参照してください)。
ただし、Splunkがログファイルのインデックスを再作成した場合でも、ログファイルは最初にインデックスが作成されたときと同じようにSplunkインデックスに存在し、ログエントリの2番目のコピーがSplunkインデックスに存在します。
そのため、誰かがログエントリを削除しても、Splunkインデックスに残ります。