Jag kan inte hitta någon Splunk-dokumentation kring detta ämne, jag kan bara se nätverkslatens mellan Splunk-miljön (SH och IDX-kluster).
Någon som vet om det finns en rekommenderad nätverkslatens från Splunk som krävs mellan målservern (UF) och IDX?
Tack.
Jag antar att de bästa frågorna att ställa till dig kretsar kring din nätverksuppsättning och hur du har distribuerat Splunk.
Det mest extrema jag känner till är att få UF/HF-data via satellitlänkar. Dessa kan vara mycket känsliga för störningar och ha hög latens, omkring 100 ms+.
På ett LAN eller över en L3/VPN-anslutning, även över oceaner och kontinenter, skulle jag hoppas att du får under 100 ms latens.
En annan KPI för latens som vissa Splunk-administratörer/arkitekter tittar på är tiden för att bearbeta data från källan till indexet.
Det kommer att bero på dina nätzons inställningar eftersom jag antar att UF är spritt över ett nätverk. Vissa kan vara snabbare än andra. Använd övervakningskonsolen, där finns en dashboard för indexlatens någonstans.