Table of Contents 简介 Splunk Enterprise 容量规划简介 3 3 硬件容量规划 Splunk Enterprise 部署的各个组件 Splunk Enterprise 部署维度传入数据如何影响 Splunk E

Table of Contents 简介 Splunk Enterprise 容量规划简介 3 3 硬件容量规划 Splunk Enterprise 部署的各个组件 Splunk Enterprise 部署维度传入数据如何影响 Splunk Enterprise 性能索引的数据如何影响 Splunk Enterprise 性能并发用户如何影响 Splunk Enterprise 性能保存的搜索 / 报表如何影响 Splunk Enterprise 性能搜索类型如何影响 Splunk Enterprise 性能 Splunk 应用如何影响 Splunk Enterprise 性能 Splunk Enterprise 如何计算磁盘存储评估存储要求调整您的 Splunk Enterprise 部署规模分布索引和搜索容纳许多同时进行的搜索性能参考参考硬件性能检查表性能建议摘要转发器与索之间的比率并行化设置 3 3 4 4 4 5 5 5 5 6 6 7 7 8 9 9 11 12 13 13

简介 Splunk Enterprise 容量规划简介您可以对 Splunk Enterprise 进行扩展以满足几乎任何容量要求要利用这种扩展能力需要进行规划本手册介绍了 Splunk Enterprise 部署的高级别硬件指导, 同时介绍了 Splunk Enterprise 如何在不同的情况下使用硬件资源作为 Splunk Enterprise 6.2 以及之后版本的新内容, 本手册代替安装和分布式部署手册中有关容量规划的指导它提供有关参考硬件和性能检查表的信息, 以确定根据您的需求应该在何时以及如何扩展您的部署规模在您决定 Splunk Enterprise 的硬件之前, 请参阅下列信息 : 有关 Splunk Enterprise 安装中元素的描述, 请查看本手册中的 Splunk Enterprise 部署的各个组件阅读 Splunk Enterprise 部署维度, 了解这些维度如何影响性能, 以及如何将性能最大化在本手册的参考硬件中了解有关 Splunk Enterprise 部署的基本构建块的信息硬件容量规划 Splunk Enterprise 部署的各个组件通过使用单个软件组件和易于理解的配置,Splunk Enterprise 可与现有基础设施并存, 或作为通用平台部署以访问 IT 数据最简单的部署方式是安装 Splunk Enterprise 时默认获得的方式 : 在同一服务器上进行索引和搜索您可在服务器上登录 Splunk Web 或 CLI 并配置数据输入, 以收集机器数据然后您使用同一服务器搜索监视告警并报告传入数据您还可在不同服务器上部署 Splunk Enterprise 的组件以处理负载和可用性要求本部分介绍了组件类型参阅分布式部署手册, 特别是主题使用 Splunk Enterprise 组件调整部署规模索 Splunk 索为本地和远程数据提供数据处理和存储, 并托管主要 Splunk 数据存储区有关更多信息, 请参阅管理索和群集手册中的索引如何工作搜索搜索是分发搜索到索 ( 在此上下文中称为搜索节点 ) 的 Splunk Enterprise 实例搜索可以是专用或非专用, 这取决于它们是否还执行索引除常见的内部索引外, 专用搜索没有任何自己的索引相反, 它们会整合并显示来自远程搜索节点的结果请参阅分布式搜索手册中的分布式搜索是什么以配置跨索池搜索的搜索转发器转发器是转发数据到远程索进行数据处理和存储的 Splunk 实例在大部分情况下, 它们不会自己索引数据请参阅转发数据手册中的关于转发和接收主题部署服务器 Splunk Enterprise 实例也可作为部署服务器部署服务器是一款用来将配置应用和内部更新分发到各组 Splunk Enterprise 实例的工具您可以使用部署服务器将更新分发到大多数 Splunk 组件 : 转发器非群集索和非群集搜索请参阅更新 Splunk Enterprise 实例手册中的关于部署服务器和转发器管理功能一览函数索搜索转发器部署服务器索引 x Web 直接搜索 x x 转发至索 x 部署配置 x x x 3

索引复制和索群集索群集是配置为复制彼此数据的一组索, 这样系统便会保留所有数据的多个副本此过程称为索引复制通过保留数据的多个相同副本, 索群集能够防止数据丢失, 同时还便于数据搜索 Splunk Enterprise 群集功能会自动从一个索故障转移到下一个索这意味着, 如果一个或多个索出现故障, 可继续为传入数据创建索引且可继续对索引数据执行搜索除了能提高数据可用性, 群集还具备当您调整部署规模时应该考虑的其他功能, 例如, 轻松地跨群集中所有索协调配置更新的功能此外, 群集内置了分布式搜索操作请参阅管理索和索群集手册中的关于群集和索引复制 Splunk Enterprise 部署维度 Splunk Enterprise 部署有多个维度这些方案确定单个参考计算机是否可以处理索引和搜索负载在一些情况下, 单个参考计算机可以有效地收集存储和搜索数据在其他情况下, 可以考虑向 Splunk Enterprise 部署中添加计算机以提高性能以下是会对 Splunk Enterprise 性能有显著影响的项目列表传入数据量您发送到 Splunk Enterprise 的数据越多, 它需要越多时间处理数据直到可以搜索报告并生成告警的事件索引数据量当存储在 Splunk Enterprise 索引中的数据量增加的时候, 存储数据并提供搜索结果所需要的 I/O 带宽也会增加并发用户的数量如果有一次使用 Splunk Enterprise 实例的人数超过一人, 则该实例需要更多资源以便这些用户执行搜索及创建报表和仪表板保存的搜索数量如果计划调用许多保存的搜索,Splunk Enterprise 需要其他容量才能立即有效地执行这些搜索在给定的时间段内, 更多的搜索次数需要更多的资源使用的搜索类型与保存的搜索数量几乎一样重要的是, 您对 Splunk Enterprise 实例运行的搜索类型这里有几种类型的搜索, 每个搜索将影响索响应搜索请求的方式您是否运行 Splunk 应用 Splunk 应用和解决方案拥有独特的性能部署和配置注意事项如果计划运行应用, 请考虑您所使用的应用资源要求有关更多信息, 请参阅应用文档这些维度如何影响整体性能? 尽管这些因素会影响您的 Splunk Enterprise 部署的基本大小要求, 但是单独处理每个问题无法保证获得部署的最高性能您必须通过试验了解这些因素如何在特定应用程序中彼此相关例如, 如果您的 Splunk Enterprise 部署调用少量索引, 但是具有大量并发用户, 则资源要求与具有少量并发用户和大量日常索引数据量的设置完全不同此外, 随着用户计数和索引的数据量增加, 您必须跨多个服务器分发环境, 以保持类似的性能级别搜索类型使得问题变得复杂, 因为一些搜索受可用 CPU 资源限制, 而其他的搜索则取决于磁盘子系统的速度何时应扩展 Splunk Enterprise 部署? 您必须了解本主题中描述的部署维度如何适用于您的特定用例回答以下问题, 然后参阅本手册的性能检查表以确定何时应增加更多硬件资源 : 您每天预计索引多少数据? 您需要保留多少数据以及保留多长时间? 您预计有多少用户会在任何时间同时搜索数据? 您是否计划使用一次以上的某些特定搜索? 您是否希望或需要使用 Splunk 应用以显示或操作数据? 想要安装时运行良好的关键在于在部署进程早期制定计划, 以考虑最初的硬件资源支出和部署扩展后的资源增加传入数据如何影响 Splunk Enterprise 性能参考 Splunk Enterprise 索可在较短时间内索引大量数据 : 超过每秒 20 MB 数据或每天 1.7 TB 假定服务器仅处理数据而不进行其他任何操作, 则会达到该索引级别由于 Splunk Enterprise 实例不仅仅进行索引, 可将该数字看作索的最大吞吐量性能变化取决于传入数据的大小和数据量大型事件会减慢索引性能随着事件的大小增加, 索将使用更多系统内存以处理和索引它们如果需要较单个索所提供的更大的索引容量, 可添加索到部署以应对增加的需求参阅本章中的主题以了解其他因素如何影响性能数据索引的数据如何影响 Splunk Enterprise 性能 4

在 Splunk Enterprise 耗尽数据并放入索引之后, 这些索引将增长并占据磁盘空间随着索引增长和可用磁盘空间减少,Splunk Enterprise 将花费更多时间索引传入数据, 因为索的磁盘子系统会花费更多时间查找空间以存储数据该增长也会影响搜索在单个索上, 磁盘吞吐量拆分为索引 ( 这是持续的 ) 和搜索请求 ( 这将基于用户计划的请求中断 ) 随着索引增长, 搜索速度会变慢, 因为磁盘子系统需要处理搜索请求, 并且还需要处理时间更长的传入数据存储请求根据搜索类型的不同, 这些请求类型会耗费很多的 I/O 资源并发用户如何影响 Splunk Enterprise 性能参考索需要为用户调用的每个搜索 ( 只要搜索是活跃的 ) 专门提供一个可用的 CPU 核心如果多个用户登录和运行搜索, 可用的 CPU 核心的数量会迅速耗尽这些数字假定该 CPU 收到登录或搜索请求时处于空闲状态这不考虑其他系统请求或 Splunk Enterprise 使用来索引数据的 CPU 核心如果正在处理任何其他系统请求, 则负载将在其他可用 CPU 之间进行拆分随着 CPU 核心满载, 索上的所有活动将减慢, 因为计算机在索引搜索和处理在线用户之间拆分处理时间仅其他索可以增加所有三个 Splunk Enterprise 操作功能的容量保存的搜索 / 报表如何影响 Splunk Enterprise 性能在参考索上, 保存的搜索或报表在执行期间使用约 1 个 CPU 核心和指定的内存量它的行为类似于临时搜索随着磁盘子系统扫描索引以提取数据, 保存的搜索还会临时增加磁盘 I/O 量同时执行的每个其他保存的搜索会使用一个其他的 CPU 核心此消耗情况与操作系统以及 Splunk Enterprise 索引和存储进程的 CPU 使用分开如果要执行命令的已保存搜索超过可以处理的数量, 则它们会一直在队列中等待, 直到进行处理当系统达到保存的搜索最大排队数量时,Splunk Enterprise 还会发出警告当搜索等待队列时, 搜索结果将更慢返回添加搜索将提供其他 CPU 核心以运行更多并发搜索对于因为添加搜索而导致的搜索负载和并发的增加, 添加索能帮助调整规模添加 RAM 到现有计算机有助于并发搜索, 但不会提供其他搜索容量搜索类型如何影响 Splunk Enterprise 性能您可以对存储在 Splunk Enterprise 索引中的数据调用四种搜索类型每种搜索类型均以不同方式影响索下表汇总了不同搜索类型对于密集搜索和稀疏搜索,Splunk Enterprise 根据匹配事件的数量来衡量性能对于超稀疏搜索和罕见搜索, 则基于总索引量来衡量性能搜索类型描述参考索引器吞吐量性能影响密集稀疏超稀疏罕见返回给定时间范围内给定数据集的一个大比例匹配结果 (10% 或更多 ) 密集搜索通常会先占用服务器的 CPU, 因为解压缩存储在 Splunk Enterprise 索引中的原始数据需要一定的开销与密集搜索相比, 返回给定时间范围内给定数据集的较少结果 ( 任何位置都在 0.01 到 1% 范围内 ) 返回每个索引数据桶中与搜索匹配的少数结果超稀疏搜索耗费很多的 I/O 资源, 因为索引器必须浏览索引的全部数据桶才能找到结果如果您的索上存储了大量数据, 这就需要很多数据桶, 因此超稀疏搜索可能需要很长时间才能完成与超稀疏搜索相类似, 但需要借助布隆过滤器, 该过滤器可帮助消除那些不匹配搜索请求的索引数据桶罕见搜索在任意位置返回结果的速度均可达超稀疏搜索的 20 到 100 倍 Splunk 应用如何影响 Splunk Enterprise 性能每秒最多 50,000 个匹配事件每秒最多 5,000 个匹配事件每个索引数据桶最多 2 秒每秒 10 到 50 个索引数据桶单个 Splunk Enterprise 索可以同时运行多个应用 Splunk Enterprise 包括在同一时间运行的若干个应用受 CPU 限制受 CPU 限制然而, 更复杂的应用提供高级视图 ( 需要使用在后台运行的摘要和加速搜索 ) 应用需要的后台处理越多, 您越有可能必须跨多个计算机分发处理负载许多应用需要设计分布式 Splunk Enterprise 部署无论是提取数据并发送数据到单个中央实例的通用转发器, 还是连接在一起并用于报表仪表板或告警的许多索和搜索,Splunk 应用经常都需要一个以上服务器实现企业的最大性能和潜能受 I/O 限制受 I/O 限制 Splunk 应用对资源需求的影响 5

如果您使用的 Splunk 应用或解决方案将通过执行大量保存的搜索来获取知识, 单一服务器 Splunk Enterprise 实例会被塞满多个搜索很快就会耗尽索上的可用 CPU 资源请参阅本手册中的容纳许多同时进行的搜索当您安装应用或解决方案时, 请阅读相应应用或解决方案文档中所述的系统要求如果未提供相关信息, 请联系该应用或解决方案的作者, 以获取有关正确运行该应用所需内容的信息 Splunk Enterprise 如何计算磁盘存储在高级别,Splunk 将如下计算总磁盘存储 : ( Daily average indexing rate ) x ( retention policy ) x 1/2 由于经过压缩处理,Splunk Enterprise 会以原始大小约一半的空间存储原始数据在包含 500GB 可用磁盘空间的卷上, 您可以以 5GB/ 天的索引速率存储近六个月的数据, 或以 100GB/ 天的速率存储十天的数据如果需要其他存储, 则可选择更多本地磁盘 ( 需要频繁搜索时 ) 或附加或网络存储 ( 可接受偶尔搜索时 ) 对于每 GB 更低成本优先于即时搜索返回的长时间搜索, 可以接受通过 NFS 或 SMB/CIFS( 服务器信息块 / 通用互联网文件系统 ) 的低延迟连接重要提示 : 通过广域网 (WAN) 连接的共享安装或磁带等备用存储不适合 Splunk Enterprise 操作的存储选择评估存储要求本主题介绍了如何评估 Splunk Enterprise 索引大小, 以计划您的存储容量要求 Splunk Enterprise 为您的数据创建索引时, 会创建两种主要类型的文件 : 包含压缩形式的原始数据 "rawdata" 文件, 以及指向该数据的索引文件 ( 它还会创建几个元数据文件, 这不会使用太多空间 ) 只需少量实验, 您就可以评估给定传入数据量所需的索引磁盘空间通常, 压缩的原始数据文件为传入预索引原始数据大小的 10% 关联的索引文件大小约为原始数据文件的 10% 至 110% 数据的唯一术语数量对该值产生影响根据数据特性的不同, 您可能希望微调分段设置, 如同数据导入手册中的关于分段所述了解空间需求的最佳方式是通过索引数据的代表性样本进行试验, 然后检查 $SPLUNK_HOME/var/lib/splunk/defaultdb 中产生的目录大小在 *nix 系统上, 遵照这些步骤一旦索引完数据样本 : 1. 转到 $SPLUNK_HOME/var/lib/splunk/defaultdb/db 2. 运行 du -ch hot_v* 并查看最后 total 行以查看索引大小在 Windows 系统上, 遵照这些步骤 1. 从 Microsoft TechNet 下载 du 实用工具 2. 从下载的 ZIP 文件提取 du.exe 并放入您的 %SYSTEMROOT% 或 %WINDIR% 文件夹注意 : 您还可将它放在您 %PATH% 中的任何地方 3. 打开命令提示符 4. 从命令提示符, 转到 %SPLUNK_HOME%\var\lib\splunk\defaultdb\db 5. 运行 del %TEMP%\du.txt & for /d %i in (hot_v*) do du -q -u %i\rawdata findstr /b "Size:" >> %TEMP%\du.txt 6. 打开 %TEMP%\du.txt file. 您将看到 Size: n, 这是每个找到的 rawdata 目录的大小 7. 合计这些数字, 找出压缩的持久化原始数据大小 8. 接下来, 运行 for /d %i in (hot_v*) do dir /s %i, 其摘要是索引的大小 9. 添加该数字到总持久化原始数据数量这是您已索引样本的索引和关联数据的总大小现在, 您可用它外推随时间变化的 Splunk Enterprise 索引和 rawdata 目录的大小要求问答有什么问题吗? 请访问 Splunk Answers, 查看其他 Splunk 用户有哪些与数据大小相关的问题和解答 6

调整您的 Splunk Enterprise 部署规模分布索引和搜索本主题介绍分发您的 Splunk 平台部署组件的原因分布式索引和搜索概念为 Splunk 平台设计一个可调整规模的架构需要 Splunk 实例角色的知识, 以及它们打算如何调整规模最常见的两种角色是搜索和索它们代表承担管理用户对象搜索分析和数据存储职责的角色搜索负责 : 托管用户存储用户创建的对象计划搜索和告警通过仪表板和视图提供可视化反馈信息执行访问控制索负责 : 从转发器接收数据流分析数据将数据写入数据桶维护数据桶接受来自搜索的搜索请求搜索数据桶并将结果以流化方式传回给搜索搜索的任务主要受 CPU 限制随着更多的用户和更多的应用添加到搜索, 并发搜索负载会迅速攀升并达到极限该极限表示以搜索的 CPU 核心衡量的跨所有用户和应用的总搜索负载添加搜索到部署可增加总的 CPU 资源, 增加环境中所支持的总的搜索并发以及活跃用户和应用的数目索的任务主要受 I/O 限制随着更多的转发器添加到网络, 要接受更多的并发数据流, 并且在写入前要分析更多的数据此外, 搜索请求需要 I/O 访问和处理器时间来分析收集和返回所请求的数据当数据流的量增加和并发搜索请求攀升地更高时, 索会达到极限该极限表示以索的 I/O 容量衡量的所有搜索的总搜索负载和来自转发器的索引负载添加索到部署可增加总的 I/O 容量和可用来保存数据的存储空间, 减少每个索负载上的数据量, 并通过将搜索负载分布到更多的索上来降低其影响调整 Splunk 平台规模典型的 Splunk 平台部署规划基于 2 点 : 每天的索引数据量和评估的搜索负载用户计数通常被用作搜索负载的替代指标例如, 一个具备管理员级别搜索并发权限的活跃用户可以在 Splunk 平台部署中与多个更低级别角色的用户维持同样的负载大多数的 Splunk 执行是建立在搜索数百 GB 数据的少数用户和一些应用上在这种情况下, 添加索是调整规模的首选方法执行索群集时适用同样的规则当搜索获得更多用户的时候,CPU 的局限性就会变得明显, 此时搜索可能被跳过, 用户会体验到更慢的搜索结果速度向您的分布式部署中添加另一个搜索不能保证提高搜索性能随着用户计数的增加, 必须添加索以保持搜索性能有关调整规模的指导表格, 请参阅本手册中的性能建议摘要在对于用户计数为 50 或更多的部署进行规划时, 可考虑执行搜索群集以吸收高级别用户, 同时增加冗余的搜索层调整规模的性能索获取数据时, 它们会将数据存储在数据桶中, 数据桶是索引的单独元素随着传入数据的增加, 数据桶数量也会随之增加随着数据桶数量的增加, 索必须通过滚动数据桶来管理它们, 为新传入的数据留出空间此过程会占用 I/O 周期, 这会减少搜索请求获取事件的可用资源对于拥有少量数据的索引数据桶, 其影响是显而易见的避免配置多个组成小数据桶的索引例如, 使用 maxdatasize 数据桶设置, 可参阅 Splunk Enterprise 管理员手册中的 "indexes.conf.example" 搜索的数量和类型也会影响索性能大多数搜索类型会使用索的磁盘子系统, 但有一些会使用更多的 CPU 有关同时进行搜索的信息, 请参阅本手册中的容纳并发用户和搜索如果分配给索的硬件超过参考计算机规格, 可考虑查看并执行并行化设置中的一种来提高特定用例的性能使用分布式管理控制台 (DMC) 跨 Splunk 平台环境监视和跟踪资源的使用情况有关更多详细信息, 请参阅分布式管理控制台手册中的关于分布式管理控制台 7

容纳许多同时进行的搜索本主题提供如何在分布式 Splunk Enterprise 部署中容纳许多同时进行的搜索搜索类型和并发用户的高级指导搜索性能的主要影响因素 Splunk Enterprise 部署中最大的性能影响因素是 : 并发用户的数量并发搜索的数量操作过程中使用的搜索类型其中每个元素对部署的影响都各有不同并发用户和并发搜索对性能的影响当某个用户提交搜索请求后, 该搜索请求在处理时默认会在每个正在运行的索上占用一个 CPU 核心用户提交的其他任何搜索也占用一个 CPU 核心您可以调整一台计算机能运行的全局并发搜索数请参阅搜索手册中的实时搜索和报表的预期性能和已知限制用户调用的搜索类型还会影响资源使用情况额外的 CPU 量或磁盘使用情况视搜索类型而定请参阅本手册中的搜索类型如何影响 Splunk Enterprise 性能作为 Splunk Enterprise 6.3 版本的新内容, 数据模型加速会分配给每个数据模型最多两个并发搜索如果您的应用使用数据模型加速, 该更改会影响本主题中显示的计算结果有关详细信息, 请参阅本手册中的并行化摘要如何最大程度地提高搜索性能解决由许多并发搜索而引起的资源开销问题的最佳方法是将部署配置为完全在可用物理计算机内存中处理搜索请求通过添加尽可能多的内存到系统中来执行此操作这对于指定为搜索的计算机很重要, 同时对于部署中的索尤为重要, 因为索必须为传入数据创建索引以及搜索现有数据例如, 如果某个部署中最多可同时进行 48 个并发搜索, 则为了满足 48 个并发搜索请求, 使用 200MB 内存的单个搜索需要转换成接近 10GB 的内存可用内存量是一个非常重要的统计值尽管索性能随着并发搜索任务对 CPU 使用率的增加而逐渐下降, 但是当计算机耗尽了所有可用的物理内存时, 索性能便会显著下降单一参考索无法处理 48 个并发搜索要获得满意的性能, 计算机至少需要额外的内存搜索性能 : 理想情况尽管存在内存约束, 搜索的运行时间还是会随着计算机上可用 CPU 核心数量的减少而成比例增加例如, 在一个具有 8 个可用核心的空闲系统上, 计算机上的核心会为前 8 个到达的搜索服务, 并且在很短的时间内完成, 在本例中为 10 秒 8 个并发搜索 :1 个索 ( 每个索带有 8 个核心 ): 并发搜索数 / 可用核心数 = 每个核心的搜索数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 8 8 1 10 10 如果并发运行 48 个搜索, 则完成时间会显著增加, 如计算中所示并发搜索数 / 可用核心数 = 每个核心的搜索数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 48 8 6 10 60 因为索在搜索操作中执行大量工作 ( 读取磁盘中的数据解压缩数据提取知识和报表 ), 因此最好添加索以减少每次搜索所需的时间在下一个示例中, 要返回到只需要 10 秒的搜索性能水平, 部署 6 个索, 并且每个索包含 8 个核心 8 个并发搜索 :6 个索 ( 每个索带有 8 个核心 ): 并发搜索数 / 可用核心数 = 每个搜索的核心数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 8 48 6 10 1.6 48 个并发搜索 :6 个索 ( 每个索带有 8 个核心 ): 并发搜索数 / 可用核心数 = 每个搜索的核心数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 48 48 1 10 10 在之前的示例中, 可以使用一个搜索来处理搜索请求也可以再留出一个搜索以便创建摘要索引 8

搜索性能 : 现实情况在许多情况中, 在搜索到达之前, 系统不是处于空闲状态例如, 如果索每天要在高峰时间处理 150GB 数据, 则在 8 个可用核心中最多使用 4 个核心来创建该数据的索引在这种情况下, 搜索次数会显著增加 4 个并发搜索 : 1 个索 ( 每个索可用 8 个核心中的 4 个 ): 并发搜索数 / 可用核心数 = 每个搜索的核心数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 4 4 1 10 10 48 个并发搜索 :1 个索 ( 每个索可用 8 个核心中的 4 个 ): 并发搜索数 / 可用核心数 = 每个核心的搜索数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 48 4 12 10 120 增加每个计算机的核心数可缩短每次搜索所需的时间, 但这并不是简化搜索操作的最有效方法一个具有 16 个核心的系统具有以下性能 16 个并发搜索 :1 个索 (16 个核心中的 12 个可用 ): 并发搜索数 / 可用核心数 = 每个核心的搜索数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 16 12 1.33 10 13.3 48 个并发搜索 :1 个索 (16 个核心中的 12 个可用 ): 并发搜索数 / 可用核心数 = 每个核心的搜索数 x 单个搜索所需的秒数 = 每次搜索大约花费的总时间 ( 秒 ) 48 12 4 10 40 两个 8 核计算机具有以下性能配置文件 8 个并发搜索 :2 个索 ( 每个索可用 8 个核心中的 4 个 ): 并发搜索数 / 可用核心数 = 每个搜索的核心数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 8 8 1 10 10 16 个并发搜索 :2 个索 ( 每个索可用 8 个核心中的 4 个 ): 并发搜索数 / 可用核心数 = 每个核心的搜索数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 16 8 2 10 20 48 个并发搜索 :2 个索 ( 每个索可用 8 个核心中的 4 个 ): 并发搜索数 / 可用核心数 = 每个核心的搜索数 x 单个搜索所需的秒数 = 每次搜索大约花费的时间 ( 秒 ) 48 8 6 10 60 使用两个 8 核计算机的成本比使用一个 16 核计算机的成本略多一些另外, 根据硬盘主轴计数, 两个 8 核计算机提供的可用磁盘吞吐量比一个 16 核计算机大得多这对于索很重要, 因为索需要很高的磁盘带宽添加索可减少任何系统上的索引负载, 并释放 CPU 核心进行搜索另外, 因为几乎所有类型搜索的性能都会随着索数量的增加而逐步提高, 因此搜索速度将加快, 这可缓解在创建索引和搜索过程中共享资源而导致性能降低的影响增加搜索速度可减小并发用户进行并发搜索的机会在拥有数百名用户的现实情况中, 虽然每个用户每隔几分钟运行一次搜索, 但并不是和其他用户的搜索时间完全相同通过添加索并减少搜索时间, 您可以减小并发因子并降低由此引发的 I/O 和内存争用情况性能参考参考硬件参考硬件提供一组当限定 Splunk 平台范围和调整其规模时所用的规格它也为处理搜索和索引负载时的性能设置基准用于单实例部署的参考计算机下面的计算机要求代表 Splunk Enterprise 部署的基本构建块 9

Intel x86 64 位芯片架构 2 个 CPU, 每 CPU 6 核心 ( 总共 12 个 CPU 核心 ), 每核心至少 2Ghz 12GB RAM 标准 1Gb 以太网 NIC 另一个用于管理网络的 NIC 选件标准 64 位 Linux 或 Windows 分发磁盘子系统参考计算机的磁盘子系统应能够处理大量平均每秒输入 / 输出操作 (IOPS) IOPS 是硬盘驱动器可以生成多少数据吞吐量的测量方法因为硬盘驱动器以不同速度读取和写入, 所以有多种 IOPS 数量用于磁盘读取和写入平均 IOPS 是这两个数字的混合硬盘驱动器可以生成越多平均 IOPS, 它在给定时间段可以索引和搜索的数据越多尽管许多变量项目考虑了硬盘驱动器可以生成的 IOPS 量, 但是以下是三个最重要的元素 : 它的旋转速度 ( 每分钟转速 ) 它的平均延迟 ( 旋转盘片半周所花费的时间量 ) 它的平均搜索时间 ( 检索请求的数据块所花费的时间量 ) 要从硬盘驱动器获得尽可能多的 IOPS, 选择具有高转速和低平均延迟和搜索时间的驱动器每家驱动器制造商均会提供这一条信息, 另外还有一些制造商会提供更多信息有关 IOPS 和如何计算它们的信息, 请参阅以下文章 : 获得 Symantec 的 Connect Community 相关 IOPS 信息 (http://www.symantec.com/connect/articles/gettinghang-iops-v13) 分析 CMDLN.ORG(sysadmin 博客 ) 上的 Linux 的 I/O 性能 (http://www.cmdln.org/2010/04/22/analyzing-ioperformance-in-linux) 对于本应用程序, 我们为磁盘子系统使用了 8 个 146 GB 15,000 RPM 串行连接 SCSI (SAS) HD 独立磁盘冗余阵列 (RAID) 1+0 故障容错方案每个硬盘驱动器能够提供平均约 200 IOPS 的速度组合的阵列能够提供略微超过 800 IOPS 的速度重要提示 : 没有足够的磁盘 I/O 是在 Splunk 基础架构中发现的最常见的限制在配置您的硬件之前仔细查看磁盘子系统的要求性能参考计算机针对给定数据样本生成以下索引和搜索性能指标索引性能搜索性能最多每秒 20MB( 每天 1700GB) 的原始索引性能, 如果不出现搜索或其他索引相关的活动的话对于密集搜索, 每秒最多 50,000 个事件对于稀疏搜索, 每秒最多 5,000 个事件对于超稀疏搜索, 每索引数据桶最多 2 秒对于带布隆过滤器的罕见搜索, 每秒 10 至 50 个数据桶要了解搜索类型以及它们如何影响 Splunk Enterprise 性能的信息, 请参阅本手册中的搜索类型如何影响 Splunk Enterprise 性能用于分布式部署的参考计算机对于较高的数据索引速率和活跃用户计数, 考虑索和搜索的不同需求专用搜索不需要太多的本地存储或极快的磁盘吞吐量搜索受 CPU 限制, 并且将使用比索更多的 CPU 资源专用搜索 Intel 64 位芯片架构 4 个 CPU, 每 CPU 4 核心 ( 总共 16 个 CPU 核心 ), 每核心至少 2Ghz 12GB RAM 2 个 300GB 10,000 RPM SAS 硬盘, 采用 RAID 1 配置标准 1Gb 以太网 NIC 另一个用于管理网络的 NIC 选件标准 64 位 Linux 或 Windows 分发添加额外的核心到搜索以容纳更多的活跃用户和更高的并发搜索负载当配置搜索时, 您还必须考虑到计划的搜索典型搜索请求需要 1 个 CPU 核心索 10

分发索引过程允许 Splunk 平台将数据处理的规模调整为数 TB 一天单个的索与一组索有相同的磁盘 I/O 带宽要求添加额外的索允许搜索请求和数据索引量的工作跨多个实例共享 Intel 64 位芯片架构 2 个 CPU, 每 CPU 6 核心 ( 总共 12 个 CPU 核心 ), 每核心至少 2Ghz 12GB RAM 能够提供 800 平均 IOPS 速度的磁盘子系统请参阅磁盘子系统标准 1Gb 以太网 NIC, 以及另一个用于管理网络的 NIC 选件标准 64 位 Linux 或 Windows 分发如果分配给索的硬件超过参考计算机规格, 可考虑查看并执行并行化设置中的一种来提高特定用例的性能每日数据量较高时, 本地磁盘无法为想要快速搜索的时间期间提供经济有效的存储在这些情况下, 部署快速连接存储或网络存储, 例如, 光纤存储区域网络 (SAN), 它能为每个索提供需要的 IOPS 虽然推荐使用很多存储类型, 但在规划存储基础设施时请考虑以下指导原则 : 因此 : 索执行大量批量读取操作索执行大量磁盘搜索操作磁盘越多 ( 特别是主轴越多 ), 索引性能越好整个系统的总吞吐量很重要特定系统中磁盘与磁盘控制器的比率应该较高一些, 与配置数据库服务器的情况类似索与搜索的比率对索可以支持的搜索数量或搜索可以搜索的索数量没有实际的限制用例将决定基础架构中需要什么样的 Splunk 实例角色 ( 搜索或索 ) 来调整规模同时保持性能有关调整规模的指导表格, 请参阅本手册中的性能建议摘要虚拟硬件 Splunk 平台实例支持运行在虚拟主机环境中布置在 VMWare 上的索 ( 具备满足参考硬件规格的预留资源 ) 处理数据的速度比布置在裸机上的索慢约 10% 到 15% 在虚拟主机环境中的搜索性能与裸机上的性能近似相当这介绍了不考虑与同一物理服务器或存储阵列上共享的其他活跃虚拟机争用资源的最佳方案它也不考虑某些供应商的特定 I/O 增强技术, 如直接 I/O 或原始设备映射有关在 VMWare 虚拟机上运行 Splunk Enterprise 的建议, 请参阅主要的 Splunk 网站上的在虚拟环境中部署 Splunk Enterprise Splunk Enterprise, 在 cloud 中自我管理在 cloud 中运行 Splunk Enterprise 是在裸机硬件上本地运行的替代方式 Splunk Enterprise 在基于 cloud 的基础架构上提供与裸机硬件上的类似性能取决于供应商和用于配置 cloud 实例的技术, 可用资源可能会比 OS 报告的更少如果您在 Amazon Web Services (AWS) 实例上运行 Splunk Enterprise: AWS 测量虚拟 CPU (vcpu) 中弹性计算 Cloud (EC2) 实例的 CPU 功率, 而不是真实 CPU 中的功率每个 vcpu 是大多数 AWS 实例类型上的 Intel Xeon 核心的一个超线程请参阅 AWS 站点上的 AWS Amazon EC2 实例类型 (http://aws.amazon.com/ec2/instance-types/) 作为核心的超线程,vCPU 被用作核心, 但物理核心必须在物理核心处理的其他 vcpu 的其余工作量之间安排工作量对于索引和数据存储, 请注意 : 如果您选择使用弹性块存储 (EBS), 您选择的 EBS 卷类型决定了您可获得的性能量不是所有的 EBS 卷类型都有处理 Splunk Enterprise 操作所需要的 IOPS 配置 IOPS 和磁性 EBS 卷类型为获得索引和搜索所需要的 IOPS 提供了最佳选择请参阅 AWS 站点上的 EBS - 产品详细信息 (http://aws.amazon.com/ebs/details/) 不是每一个 EC2 实例类型均为您需要的 EBS 卷提供网络吞吐量要确保该带宽, 您必须将 instance4 作为 EBS- 优化启动, 或者选择一个能提供最小 10Gb 带宽的实例类型请参阅 AWS 站点上的 Amazon EC2 实例配置 (http://docs.aws.amazon.com/awsec2/latest/userguide/ebs-ec2-config.html) 对于转发, 请注意, 您的 Cloud 基础架构邻近您的转发器会对整个环境的性能有重大影响 Splunk Cloud Splunk 将它的计算机数据平台和获许可的软件作为名为 Splunk Cloud 的订阅服务提供当您订阅服务时, 您可以购买容量以索引存储和搜索您的计算机数据 Splunk Cloud 对您的基础架构规格进行提取摘要, 并在您所购买的容量上提供高性能服务性能检查表 11

该问卷假定您有一个基于参考架构 ( 在用于单实例部署的参考计算机主题中介绍 ) 的单实例 Splunk Enterprise 部署这些指南会帮助您决定何时分发您的 Splunk 平台部署确定何时调整您的 Splunk Enterprise 部署规模在考虑何时扩展之前, 评估需要索引的数据量, 以及是否会有不止一个的活跃用户搜索该数据根据索引的数据量和所需并发用户计数的不同, 您可能需要将环境扩展为多台计算机即使您的索引量和用户计数在单个计算机的容量范围之内, 但基于使用的搜索类型和使用的功能 ( 例如摘要索引或数据模型加速 ), 您可能必须分发您的部署另外, 在您的环境中运行 Splunk 应用或解决方案, 或试图支持大量保存的搜索需要具备分散在多个计算机上的组件的分布式 Splunk 平台问题 1: 您是否希望创建或运行执行大量保存的搜索 ( 并发超过 8 个 ) 的 Splunk 应用告警或解决方案? 保存的搜索是用户保存在 Splunk Enterprise 中以便稍后使用的搜索保存的搜索数量, 尤其是并发运行的那些搜索的数量, 会直接影响 Splunk 服务器的性能如果回答否, 则转到问题 2 您暂时无需考虑扩展 Splunk Enterprise 部署到多台计算机如果回答是, 则应扩展您的 Splunk Enterprise 部署规模到多台计算机问题 2: 您每天是否需要索引超过 2GB 的数据? 问题 3: 您是否有超过两位用户同时登录? 如果您对问题 2 和 3 都回答否, 则您的 Splunk 平台实例可与其他 Splunk 平台服务共享用于分布式部署的参考计算机如果您对问题 2 或 3 回答是, 则继续问题 4 警告要在 Windows 上部署 Splunk Enterprise, 则不可在运行 Microsoft Exchange Active Directory 域服务或计算机虚拟化软件的服务器上分享完整的 Splunk Enterprise 服务这些服务经常耗费很多 I/O 资源, 会降低索引和搜索性能此外, 确保安装在服务器上的防病毒软件不会扫描 Splunk Enterprise 安装目录问题 4: 您每天是否需要索引超过 300GB 的数据? 问题 5: 您是否需要超过四位并发用户? 如果您对问题 4 和 5 都回答否, 则运行在参考计算机上的单个专用 Splunk Enterprise 实例应能够处理索引和搜索的工作负载如果您对问题 4 或 5 回答是, 则转到问题 6 问题 6: 您是否需要超过 600GB 的总存储空间? 请参阅 Splunk Enterprise 如何计算磁盘存储如果回答否, 则单个参考架构的专门计算机应能够处理索引和搜索的工作负载, 但您可能需要为系统添加快速存储以处理增加的磁盘使用率如果回答是, 则考虑扩展部署到其他索, 以处理不断增加的索引和搜索需求问题 7: 您是否需要为少量结果 ( 不到 1%) 搜索大量数据? 涉及大量数据并返回少量数据结果的搜索被称为超稀疏搜索这些搜索需要大量磁盘 I/O, 因为索必须搜索一些数据桶以查找您需要的数据如果回答否, 则无需扩展部署但是, 增加其他索将同时提升索引和搜索性能如果回答是, 则考虑扩展部署性能建议摘要每日索引量表格汇总了性能检查表给出的性能建议下表显示了在 Splunk Enterprise 中索引和搜索数据所需的参考计算机的数量, 这取决于并发用户计数和实例索引的数据量要查看当前参考硬件的规格, 请参阅本手册中的参考硬件此表只是粗略的指导说明根据用例修改相关数字如果您需要帮助确定和调整 Splunk 平台环境, 请联系 Splunk 销售代表或专业服务每日索引量 12

< 2GB/ 天 2 到 300 GB/ 天 300 到 600 GB/ 天 600GB 到 1TB/ 天 1 到 2TB/ 天 2 到 3TB/ 天总用户数 : 小于 4 1 个合并实例 1 个合并实例 2 个索 3 个索 7 个索引器 10 个索总用户数 : 最大 8 1 个合并实例 1 个索引器 2 个索 3 个索 8 个索引器 12 个索总用户数 : 最大 16 1 个搜索 1 个索 1 个索引器 3 个索 2 个搜索 4 个索 2 个搜索 10 个索 2 个搜索 15 个索总用户数 : 最大 24 1 个搜索 1 个索 2 个索引器 2 个搜索 3 个索 2 个搜索 6 个索 2 个搜索 12 个索 3 个搜索 18 个索总用户数 : 最大 48 2 个索引器 2 个搜索 4 个索 2 个搜索 7 个索 3 个搜索 14 个索 3 个搜索 21 个索问答有什么问题吗? 请访问 Splunk Answers 以查看其他用户有哪些与硬件和 Splunk Enterprise 相关的问题和解答转发器与索之间的比率 Splunk Enterprise 索负责从内部和外部数据源 ( 例如转发器 ) 接收数据流, 并在本地为该流建立索引为数据建立索引需要大量的磁盘 I/O 带宽以及一些计算资源当您考虑一个索能处理多少个转发器的数据时, 索引容量仍然是最关注的问题转发器 ( 一个索能从其接收数据 ) 的数量取决于几个因素 : 计算机上 CPU 的数量主轴的数量应该满足或超过参考标准计算机上磁盘主轴的数量主轴的数量应该满足或超过参考标准索是否运行在 Windows 或 *nix 上要转发到索的数据量索是否也会用作部署服务器对于 *nix 索, 转发器与索之间的比率 Splunk Enterprise 使用以下设置来为能连接到 *nix 索的转发器数量提供指导 : 一个索 ( 具备 8 个核心,7GB RAM, 采用 RAID 0 配置的 4 x 420GB 磁盘, 运行 64 位 Linux OS) 以 100Mb/s 或更快速度传输的高速局域网 (LAN) 所有的通用转发器发送未经预先处理的数据在这些情况下, 索能够处理至少 2,000 个转发器的数据, 通常能处理多达 5,000 个转发器的数据当服务器被配置为接受大量的 Unix 文件描述符 ( 通常是索可以接受的转发器数量的三到四倍 ) 时, 性能最佳注意 : 这些数字仅用于指导取决于索转发器和网络的配置, 结果会有所不同并行化设置在 Splunk Enterprise 6.3 版本中, 可使用新设置来提高搜索和索引性能谁能使用这些设置 13

并行化设置被设计来提高 Splunk Enterprise 中特定组件的性能并行化功能的目的是使得具有多余的 CPU 核心和 I/O 容量的客户能充分利用他们的硬件提高跨索引层的性能您可以使用这些设置来分配 CPU 资源, 以用于 Splunk 平台环境中最广泛的用途, 方法是将索调整以满足其要求设置摘要设置批处理模式搜索并行化描述允许批处理模式搜索在每个索上打开其他的搜索管道, 同时处理多个数据桶数据模型的并行化摘要允许计划程序在索上运行并发数据模型的加速搜索报表加速的并行化摘要允许计划程序在索上运行并发报表的加速搜索索引并行化允许在索和转发器上的并发数据处理管道如果您的 Splunk 平台环境中的索超过了参考硬件规格, 您可以查看用例并增加一个并行化设置直到最大建议值如果您的索达到或接近容量极限, 更改并行化设置会对搜索和索引性能产生负面影响所有并行化设置都需要重新启动服务使其生效批处理模式搜索并行化批处理模式搜索被设计用于按数据桶而不是按时间进行搜索和返回事件数据通过添加更多的批处理搜索管道, 可同时处理多个数据桶, 加快搜索结果的返回速度使用批处理模式搜索并行化的客户会发现返回批处理模式搜索结果的速度快了一倍设置名称默认最大建议值影响 batch_search_max_pipeline 1 2 乘以每个索上每个批处理模式搜索的搜索管道数量调整 limits.conf 中的 batch_search_max_pipeline 设置为 2, 乘以每个索上的批处理模式搜索所使用的 IO 处理开销和内存 2 倍的值提供最佳的性能增长, 更高的值则会使得收益递减有关配置的详细信息, 请参阅 Splunk Enterprise 知识管理器手册中的配置批处理模式搜索并行化 Splunk 管理员可使用分布式管理控制台 (DMC) 监视和跟踪索资源的使用情况有关更多详细信息, 请参阅分布式管理控制台手册中的关于分布式管理控制台并行化摘要加速搜索有两种类型 : 数据模型加速和报表加速两种加速类型都会在每个索引数据桶之外的磁盘上创建搜索结果当计划的加速搜索无法跟上索引的数据量时, 延迟被引入到搜索结果中通过允许计划程序在索上运行并行加速搜索, 可同时处理多个数据桶, 加快加速搜索结果的创建速度使用并行化摘要的客户会发现构建加速搜索结果的速度快了一倍数据模型加速设置名称默认最大建议值影响 acceleration.max_concurrent 2 2 乘以每个索上每个数据模型的计划的加速搜索数量 datamodels.conf 中的 acceleration.max_concurrent 设置默认为 2, 乘以每个索上运行计划的加速搜索时所使用的 IO 处理开销和内存 2 倍的值提供最佳的性能增长, 更高的值则会使得收益递减有关配置的详细信息, 请参阅 Splunk Enterprise 知识管理器手册中的并行化摘要报表加速设置名称默认最大建议值影响 auto_summarize.max_concurrent 1 2 乘以每个索上每个搜索的计划的加速搜索数量调整 savedsearches.conf 中的 auto_summarize.max_concurrent 设置为 2, 乘以每个索上运行计划的加速搜索时所使用的 IO 处理开销和内存 2 倍的值提供最佳的性能增长, 更高的值则会使得收益递减有关配置的详细信息, 请参阅 Splunk Enterprise 知识管理器手册中的使用并行化摘要加速报表摘要的创建和维护 Splunk 管理员可使用分布式管理控制台 (DMC) 监视和跟踪索资源的使用情况有关更多详细信息, 请参阅分 14

布式管理控制台手册中的关于分布式管理控制台索引并行化索引并行化允许索维护多个管道集管道集处理数据的过程, 从接收事件流, 通过事件处理, 到将事件写入磁盘通过允许索创建和操作多个管道, 多条数据流可以使用其他的 CPU 核心来处理, 加快数据分析和写入磁盘的速度, 直到达到索的 I/O 容量极限使用索引并行化的客户会发现索的持续负载的增加, 或是突然从转发器接收到大量数据时索引速度快了一倍设置名称默认最大建议值影响 parallelingestionpipelines 1 2 乘以每个索上的管道数量调整 server.conf 中的 parallelingestionpipelines 设置为 2 将使用额外的 4 到 6 个 CPU 核心, 以及需要 300-400 IOPS 以保持每个索上的索引吞吐量另外, 可用于搜索处理的 CPU 核心更少 2 倍的值提供最佳的性能增长, 更高的值则会使得收益递减有关配置的详细信息, 请参阅 Splunk Enterprise 管理索和索群集手册中的管理用于索引并行化的管道集 Splunk 管理员可使用分布式管理控制台 (DMC) 监视和跟踪索资源的使用情况有关更多详细信息, 请参阅分布式管理控制台手册中的关于分布式管理控制台 15

Table of Contents 简 介 Splunk Enterprise 容 量 规 划 简 介 3 3 硬 件 容 量 规 划 Splunk Enterprise 部 署 的 各 个 组 件 Splunk Enterprise 部 署 维 度 传 入 数 据 如 何 影 响 Splunk E

Table of Contents 简介 Splunk Enterprise 容量规划简介 3 3 硬件容量规划 Splunk Enterprise 部署的各个组件 Splunk Enterprise 部署维度传入数据如何影响 Splunk E