Ich habe meinen eigenen Index in Splunk erstellt, der vom HTTP Event Collector verwendet werden soll. Wenn ich mir die Indexansicht anschaue, sehe ich Ereignisse in meinem Index.Splunk Custom Index Suche
Wenn ich jedoch in die Such-App gehe und die Datenzusammenfassung auf der Registerkarte Quellen sehe, sehe ich keinen Eintrag für meinen Index.
Ich verwendete zuvor ein anderes Token für HEC, zeigte auf den Hauptindex und diese Daten sind da, als Quellentyp "json_no_timestamp". Aber als ich auf meinen eigenen Index zeigte, konnte ich ihn nicht in der Suche anzeigen.
Eine interessante Sache, die ich bemerkte, ist, dass in der Indexansicht alle anderen Einträge "System" in der Spalte "App" zeigen, während mein Index stattdessen dort "suchen" hat.
Muss ich etwas tun, damit mein Index angezeigt wird?