Splunk 中数据是如何随时间老化（Data Aging）的？

How the Data Ages in Splunk?

题目类型: 技术面试题

这是一道技术面试题，常见于澳洲IT公司面试中。

难度: hard

分类: Splunk 索引机制, Bucket 生命周期

标签: splunk, bucket, hot, warm, cold, frozen, thaw, indexing-pipeline

参考答案摘要

TL;DR Splunk 将索引数据存入称为 buckets 的目录，并随着时间从 hot → warm → cold → frozen 逐步滚动。被冻结的数据默认不可搜索，可选择归档或删除；若归档，可通过 thawing 取回并变为可搜索。 索引管道（Indexing Pipeline） Indexer 的事件处理分两阶段： Parsing ：把原始数据拆成单个 events Indexing ...

本题提供 STAR 原则详细解答和技术解析，登录匠人学院学习中心即可查看完整答案。