在开始将日志转发到 Splunk 实例之前,我需要大致了解磁盘空间需求。索引的每个行平均有 320 个字符,我每天将索引大约 500,000 行。
我的假设是每个字符 1 字节,并且忽略了 Splunk 索引等占用的空间。也就是每天 160MB。
您认为这半准确还是完全错误?
答案1
除非您的日志是高度随机的,否则我认为您会对 Splunk 为您节省的空间感到非常满意,如果这些是系统日志消息或您从 apache/weblogic 等中获取的消息,那么您会看到所需空间急剧减少,可能多达 80-90%。
举例来说,我们每天记录大约 17 TB 的数据,并在丢弃原始日志之前将其保留 90 天(我们将它们过滤到摘要索引中),我们有大约 160 TB 的“热”存储数据,这比传入量减少了约 90%。
希望这可以帮助。