只是为了记录一些Splunk 方面的一些信息

优化 Splunk 以获得高性能 以获得高性能

与许多服务一样，在 Windows 上的 Splunk 也需要适当的维护，以便保持高性能运行。本主题介绍您可以在部署期间 或之后采用哪些方法来确保在 Windows 上的 Splunk 能够正常运行。

要确保 Splunk 高性能运行：

• 指定一台或多台计算机来运行 Splunk。Splunk 具有水平或横向伸缩性。这意味着通过增加运行 Splunk 的计算 机台数，而不是增加单台计算机的资源，可以获得更高的性能。如可行，应拆分建立索引和搜索活动并在多台 计算机上运行，在这些计算机上只运行主要的 Splunk 服务。除了通用转发器之外，如果在运行与其他服务共享 的服务器上运行 Splunk，则性能会降低。
• 针对您的 Splunk 索引使用专用高速磁盘。用于 Splunk 建立索引的系统可用磁盘越快，Splunk 的运行速度也越 快。如可行，使用主轴转速超过 10,000 RPM 的磁盘。如需针对 Splunk 使用冗余存储，使用基于硬件的 RAID 1+0（也称为 RAID 10）。它提供了速度和冗余性之间的最佳平衡。不建议使用通过 Windows 磁盘管理工具提 供的基于软件的 RAID 配置。
• 不允许防毒程序扫描用于运行 Splunk 作业的磁盘。当防毒文件系统驱动器对访问文件执行病毒扫描时，性能 会显著降低，尤其是当 Splunk 内部老化最近建立索引的数据时。如果您必须在运行 Splunk 的服务器上使用防 毒程序，则必须确保 所 有 Splunk 目录和程序被排除在访问文件时的扫描之外。
• 如可用，使用多个索引。将由 Splunk 建立索引的数据分散到不同索引中。将所有数据发送到默认索引可能会导 致您的系统出现 I/O 瓶颈问题。应根据情况配置您的索引，以使其尽量指向系统中的不同物理卷。有关如何配 置索引的更多信息，请参阅本手册中的“配置您的索引”。
• 不要将您的索引存储在操作系统所在的同一物理磁盘或分区上。不建议将存储有 Windows 操作系统目录 (%WINDIR%) 或其交换文件的磁盘用于 Splunk 数据存储。应将您的 Splunk 索引存储在系统中的其他磁盘上。

有关索引存储方式的更多信息，包括数据库数据桶类型以及 Splunk 如何存储与老化这些项目的信息，请阅读本手册 中的“Splunk 如何存储索引”。

• 不要将您的 Splunk 索引的热/温数据桶存储在网络卷上。网络延迟将导致性能显著降低。应采用高速、本地磁 盘来存储您的 Splunk 索引的热/温数据桶。对于冷/冻结的索引数据桶，您可以指定网络共享，例如分布式文件 系统 (DFS) 卷或网络文件系统 (NFS) 装入点，但应注意，如果搜索包含那些存储在冷数据桶中的数据，则速度 会变慢。
• 保持您的 Splunk 索引器的磁盘可用性、带宽和可用空间。确保用于存储 Splunk 索引的磁盘卷始终具有 20% 或以上的可用空间。磁盘性能随可用空间的减少而成比例降低，因为这时磁盘寻道时间会增加。这会影响 Splunk 建立数据索引的速度，并决定了搜索结果、报告和告警的返回速度。在默认的 Splunk 安装中，用于包 含您索引的驱动器必须至少有 5,000 MB（约 5 GB）的可用磁盘空间，否则建立索引操作将暂停。