我们的 Splunk 服务器索引来自其客户端的审计日志。我们每周通过 Splunk 搜索审计这些日志一次。我的问题是,如果有人编辑已编入索引的日志文件中的条目,Splunk 会重新索引已编辑的文件并覆盖索引中的旧条目,还是会保留这两个条目(一个编辑前,一个编辑后)。我在这里试图确认的是,如果我要通过 Splunk 查看上个月的审计日志,并且有人在上周删除了原始日志文件中的条目,那么有人删除的条目是否仍会出现在 Splunk 搜索中?
答案1
我的理解是,如果有人编辑了日志文件,那么 Splunk 是否会重新索引该文件将取决于编辑的性质。(有关 Splunk 如何决定是否重新索引文件的更多信息,请访问http://docs.splunk.com/Documentation/Splunk/7.0.2/Data/Howlogfilerotationishandled)。
但是,即使 Splunk 重新索引了日志文件,日志文件仍然会存在于 Splunk 索引中,就像最初索引时一样,并且日志条目的第二份副本会存在于 Splunk 索引中。
因此,即使有人删除了日志条目,它仍会保留在 Splunk 索引中。