第一步
在limits.conf配置文件中新增如下参数
[default]
regex_cpu_profiling = true
#为RegexProcessor启用CPU时间指标。输出将在metrics.log文件中
#metrics.log中的条目将显示为per_host_regex_cpu,per_source_regex_cpu,
#per_sourcetype_regex_cpu,per_index_regex_cpu。
#默认值:false
[metrics]
maxseries = 50
#要包含在metrics.log的per_x_thruput报告中的系列数。
#默认值:10
第二步
重启splunk
第三步
Goto splunk UI查询
哪种来源类型占用了最多的CPU时间
index=_internal host= source=*metrics.log group=per_sourcetype_regex_cpu |timechart max(cpu) by series
哪种事件类型占用每个事件的大部分CPU时间
index=_internal host= source=*metrics.log group=per_sourcetype_regex_cpu |timechart max(cpupe) by series
重复查询per_host_regex_cpu,per_source_regex_cpu和per_index_regex_cpu
- cpu 给定系列的总cpu时间
- cpupe 给定系列的每个事件的cpu时间
- bytes 给定系列的总字节进程
- ev 给定系列的总事件
网友评论