- Liên tục, sao lưu gia tăng các dữ liệu ở giai đoạn warm (incremental backup)
- Sao lưu tất cả dữ liệu, ví dụ trước khi nâng cấp indexer (full backup) backup)
- Quá trình sao lưu index
- Sao lưu theo cách Incremental backup
Khuyến cáo đưa ra là nên backup tất cả các warm bucket mới, bằng cách sao lưu gia tăng theo sự lựa chọn của ta. Nếu ta đang chuyển tiếp các giai đoạn của dữ liệu một cách thường xuyên ta nên backup cả những thư mục dữ liệu ở giai đoạn cold để đảm bảo không bị mất mát dữ liệu khi chuyển giai đoạn từ warm sang cold mà việc backup chưa kịp xảy ra. Nếu tên thư mục không thay đổi khi chuyển đổi giai đoạn có thể chỉ phải tìm kiếm các thư mục backup trong cold bằng tên.
2.3.4. Thành phần cảnh báo
Một cảnh báo là một hành động được kích hoạt dựa trên các kết quả của tìm kiếm. Khi tạo một cảnh báo, cần định nghĩa một điều kiện mà kích hoạt cảnh báo đó. Hành động điển hình là gửi email dựa trên các kết quả tìm kiếm. Ngồi ra cũng có thể chọn các hành động khác như chạy một đoạn mã script hoặc đưa chúng vào trong danh sách các cảnh báo. Với cùng một điều kiện cảnh báo có thể đưa chúng vào nhiều lựa chọn khác nhau như vừa gửi mail vừa chạy script. Để tránh việc gửi cảnh báo quá thường xuyên, ta cũng có thể giới hạn điều kiện cho một cảnh báo. Splunk định nghĩa ba loại cảnh báo là:
- Per result alert: Dựa trên việc tìm kiếm thời gian thực. Điều kiện kích hoạt là bất cứ khi nào việc tìm kiếm trả về một kết quả.
- Scheduled alert. Chạy tìm kiếm theo lịch trình được chỉ định khi tạo cảnh báo. Ta định nghĩa các kết quả của việc tìm kiếm để kích hoạt cảnh báo đó.
- Rolling-window alert. Dựa trên việc tìm kiếm thời gian thực. Điều
kiện kích hoạt là tập hợp các kết quả phù hợp của việc tìm kiếm trong một khung thời gian quy định.
Tiếp theo sẽ giới thiệu chi tiết các kịch bản của mỗi loại cảnh báo. Đối với per result alert: cảnh báo khi việc tìm kiếm thời gian thực trả về một kết quả phù hợp với điều kiện. Thông thường, ta định nghĩa một giới hạn điều kiện vì vậy cảnh báo được kích hoạt chỉ trong một khoảng thời quan quy định.
Các ví dụ về một kết quả trả về bao gồm các điều kiện dưới đây:
- Kích hoạt cảnh báo cho mỗi lần đăng nhập lỗi.
- Kích hoạt cảnh báo khi xảy ra những loại lỗi lựa chọn cho bất kì host nào.
- Cảnh báo xảy ra khi CPU trên host lên đến giá trị 100% trong một khoảng thời gian dài.
Cần chú ý khi triển khai per result alert trong một hệ thông yêu cầu độ sẵn sàng cao. Nếu một mạng ngang hàng khơng sẵn sàng, việc tìm kiếm thời gian thực có thể khơng được đảm bảo. Trong trường hợp này nên sử dụng scheduled alert.
Sử dụng một scheduled alert để đưa ra cảnh báo khi một lịch trình tìm kiếm trả về các kết quả phù hợp với điều kiện được định nghĩa. Một scheduled alert là hữu ích khi việc cảnh báo khơng cần thiết phải thực hiện ln.
Một số ví dụ về scheduled alert:
- Kích hoạt cảnh báo chạy hàng ngày, cảnh báo xảy ra khi số lượng kết quả của ngày đó ít hơn 500.