Splunk Enterprise 9.3.0 (macOS, Linux, Windows) - 机器数据管理和分析
Splunk Enterprise 9.3 于 2024 年 7 月发布。
新增功能
| 新功能、增强或更改 | 描述 |
|---|---|
| 对 Ingest Actions file system 目标的官方支持 | 将数据路由到 NFS 或本地文件系统。这对于与成本节约、审计、合规性等相关的用例非常有用。请参阅 创建 NFS 文件系统目标。 |
| 索引器集群滚动升级自动化 | Splunk Enterprise 现在支持索引器集群的自动滚动升级。此功能建立在现有滚动升级功能的基础上,可最大程度地减少管理员在索引器群集节点上升级 Splunk Enterprise 版本所需执行的步骤数 (sysin)。有关更多信息,请参阅 执行索引器集群的自动滚动升级 中的 管理索引器和索引器集群。 |
| 预定义的 splunk_system_upgrader 角色 | splunk_system_upgrader 角色在 Splunk Enterprise 中可用。担任此角色的用户可以将搜索头集群 (SHC) 和索引器集群 (IDXC) 自动滚动升级到更高版本的 Splunk Enterprise。要了解此角色的关键功能,请参阅 Splunk 平台功能表。 |
| 使用使用统计数据重新平衡索引器集群数据 | 索引器集群使用数据重新平衡来平衡对等节点之间的存储桶数量,但该功能到目前为止尚未考虑存储桶的实际搜索使用情况。因此,某些对等节点可能比其他节点承载更大的搜索负载。为了提高系统性能,此新功能允许根据搜索使用情况重新平衡数据。请参阅 重新平衡索引器集群。 |
| 减少 conf 内存 | 当大量用户和应用程序使用搜索头时,可减少搜索头内存使用量的增强功能。要打开此功能,请在中添加以下设置 $SPLUNK_HOME/etc/system/local/server.conf 并重新启动搜索头。[general] conf_cache_memory_optimization = true |
| 主页——自定义书签、搜索历史、知识对象视图更新 | 管理员和用户可以使用产品内书签个性化其主页,以便快速访问指南、手册、应用程序、知识对象等。管理员用户可以 通过一项操作与所有其他用户共享书签 控制可以在其中创建书签的域。用户可以 在单一视图中无缝访问各种应用程序的搜索历史记录,无需浏览多个应用程序。按应用程序和所有者过滤知识对象列表,以便更快地访问,而不是滚动长列表。请参阅 导航 Splunk Web 中的 搜索手册 。 |
| Dashboard Studio - 计划 PDF 导出 | 客户可以安排导出 Dashboard Studio 仪表板以进行电子邮件传送。 |
| Splunk Enterprise Python 3.9 升级 | 在此版本中,默认 Python 解释器设置为 Python 版本 3.9。Python.Version 设置已更新,以便该参数设置为值 force_python3,这会强制所有 Python 扩展点使用 Python 3.9,包括覆盖任何应用程序指定的设置。这对于新客户来说是默认安全的。如果该值设置为 python3.9,默认解释器设置为 Python 3.9,但应用程序可以选择使用不同的值 (sysin)。Python 3.7 继续在客户的私人应用程序构建中可用。 |
| Splunk 联合搜索:透明模式联合搜索阻止危险命令 | 透明模式联合搜索的几个有风险的命令已被阻止。除此之外 tstats 和 makeresults 在透明模式联合搜索的某些情况下,命令已被阻止或限制。请参阅 中运行联合搜索 在 联合搜索。 |
| Splunk 联合搜索:标准模式搜索改进 | 在远程 Splunk 部署的标准模式联合搜索中,以下命令 join, union, 和 append 现在可以使用远程保存的搜索作为子搜索。 |
| Splunk 的联合搜索:使用透明模式联合搜索时 kvstore 复制的改进 为不带索引器的联合搜索头启用 kvstore | 当您使用透明模式联合搜索并且联合搜索头没有索引器时 (sysin),Splunk 软件现在可以使用 kvstore 复制将数据传输到远程 Splunk 部署以在联合搜索中使用。 |
| 预览功能:在 Splunk Web 中添加字段过滤器以保护敏感信息 | 现在,您可以使用 Splunk Web 中的字段过滤器来混淆或编辑数据,例如个人身份信息 (PII) 和受保护的健康信息 (PHI),并控制哪些用户可以查看这些敏感信息。有关字段过滤器的更多信息,请参阅 使用字段过滤器保护 PII、PHI 和其他敏感数据。首先阅读本文:您是否应该在组织中部署字段过滤器? 字段过滤器是一个强大的工具,可以帮助许多组织保护其敏感字段免受窥探,但它们可能并不适合每个人。如果您的组织运行 Splunk Enterprise Security 或者您的用户严重依赖字段过滤器默认限制的命令( mpreview, mstats, tstats, typeahead, 和 walklex),在您彻底规划如何解决这些受限命令之前,请勿在生产中使用字段过滤器。请参阅 “阅读此内容:如果使用字段过滤器,则受限制的命令在任何索引的搜索中不起作用” 手册中的 《保护 Splunk 平台》 。如果您在先前版本的 Splunk Enterprise 中使用了预览功能(基于角色的字段筛选器),则必须创建新的字段筛选器来保护您的敏感数据。基于角色的字段筛选器在此版本或后续版本中不起作用,并且与字段筛选器不兼容。 |
| 升级到此版本或更高版本后,基于角色的字段过滤器不起作用 | 在先前版本的 Splunk Cloud Platform 中作为预览功能发布的基于角色的字段过滤器在此版本或后续版本中不起作用。基于角色的字段过滤器已被字段过滤器取代。 |
| view_field_filter 功能重命名为 list_field_filter 功能 | 列出字段过滤器的功能现在称为 list_field_filter。 |
| 使用中缀通配符的搜索的日志严重性级别从 INFO 增加到 WARN | 某些产生不一致搜索结果的搜索现在将以下消息显示为警告而不是信息消息: The term <term> contains a wildcard in the middle of a word or string. This might cause inconsistent results if the characters that the wildcard represents include punctuation. Learn More. 如果您不希望将此消息记录为警告,可以将日志严重性级别恢复为信息。要将消息更改为信息消息,请执行以下步骤: 如果您使用的是 *nix,则在 $SPLUNK_HOME/etc/system/local 处打开或创建本地 messages.conf 文件;如果您使用的是 Windows,则在 %SPLUNK_HOME%\etc\system\local 处打开或创建本地 messages.conf 文件。有关如何编辑 .conf 文件的信息,请参阅 如何编辑配置文件 中的 《Splunk Enterprise 管理手册》。编辑严重性级别 [UNIFIEDSEARCH:SEARCH_CONTAINS_INFIX_WILDCARD__S]. |
| 升级准备应用程序 v4.4.0 | 兼容 Python 3.9 |
| 工作负载管理增强 | 增强的 search_time_range 谓词功能现在允许您将工作负载规则和准入规则与特定搜索时间范围相匹配,以提高大量数据的搜索效率。有关更多信息,请参阅 配置工作负载规则 手册中的 《工作负载管理》。另请参阅 Splunk 创意。 |
下载 Splunk
想要开始学习和研究?
请访问:https://sysin.org/blog/splunk-9/
标签:Splunk,索引,请参阅,搜索,Enterprise,过滤器,9.3 From: https://www.cnblogs.com/sysin/p/18328381