如何判断 Splunk 是否已经完成对某个日志文件的索引？

How can I understand when Splunk has finished indexing a log file?

题目类型: 技术面试题

这是一道技术面试题，常见于澳洲IT公司面试中。

难度: hard

分类: Splunk 索引监控, 数据输入排查

标签: splunk, indexing, metrics.log, _internal, throughput, inputstatus

参考答案摘要

TL;DR 可以通过实时查看 Splunk 内部 metrics.log 的吞吐指标来判断索引是否完成；也可以访问 REST Endpoint 查看 input 状态，排查 whitelist/blacklist 等输入规则问题。 方法 1：实时监控某 sourcetype 的 throughput index="_internal" source="*metrics.log" group="pe...

本题提供 STAR 原则详细解答和技术解析，登录匠人学院学习中心即可查看完整答案。