[SPLUNK] BUCKET (버킷)

Bucket(버킷) 정의

• 원시 데이터와 인덱스 파일이 저장되는 저장소
• 데이터에 대한 인덱스 파일과 데이터 자체를 포함하는 디렉토리
• 인덱싱된 데이터를 관리하는 단위

---

Bucket(버킷) 종류

• Warm 버킷 : 새로 입력된 데이터가 들어있는 곳, 검색할 때 가장 먼저 검색이 이루어지는 공간
• Cold 버킷 : Warm 버킷에서 롤링된 버킷, Cold버킷도 검색이 이루어지긴하지만 Warm버킷에서 검색이 끝난 후에 검색이 이루어짐 
• Frozen 버킷 : Cold 버킷에서 일정시간이 지나면 이동되며, Frozen 버킷으로 이동시 데이터가 삭제됨 (Splunk에서는 삭제되기 전에 스크립트를 실행시켜서 데이터를 백업하거나 다른 작업을 처리할 수 있게 기능을 제공함)
• Thawed 버킷 : Frozen 된 데이터를 재입력하기 위한 버킷 (잘사용안하는 듯, 회사에서 Warm, Cold, Frozen만 이용중)

---

Bucket(버킷) 관련 설정

• Indexes.conf에서 frozenTimePeriodInSecs, maxTotalDataSizeMB 설정 값은 버킷 이동 제어 관련 설정임
• frozenTimePeriodInSecs에 설정 시간이 지나거나 maxTotalDataSizeMB에 설정된 크기보다 실제 인덱스 크기가 더커지면 프로즌버킷으로 이동하여 삭제됨