You can set up the indexer time field extraction either at the forwarder level or at 
the indexer level. 
Another difference is that 
Search time field extraction’s extracted fields are not part of the 
metadata, so they do not consume disk space. 
Whereas index time field extraction’s extracted fields are a part of metadata and hence 
consume disk space. 
Question: What Is Source Type In Splunk? 
Source type is a default field which is used to identify the data structure of an incoming 
event. Source type determines how Splunk Enterprise formats the data during the indexing 
process. 
Source type can be set at the forwarder level for indexer extraction to identify different data 
formats. 
Question: What is SOS? 
SOS stands for Splunk on Splunk. It is a Splunk app that provides graphical view of your 
Splunk environment performance and issues. 
It has following purposes: 
Diagnostic tool to analyze and troubleshoot problems 
Examine Splunk environment performance 
Solve indexing performance issues 
Observe scheduler activities and issues 
See the details of scheduler and user driven search activity 
Search, view and compare configuration files of Splunk 

Question: What Is Splunk Indexer And Explain Its Stages? 
The indexer is a Splunk Enterprise component that creates and manages indexes. 
The main functions of an indexer are: 
Indexing incoming data 
Searching indexed data Splunk indexer has following stages: 

Download 1.91 Mb.

Do'stlaringiz bilan baham: