Наш сервер Splunk индексирует журналы аудита своих клиентов. Раз в неделю мы проверяем эти журналы с помощью поиска Splunk. Мой вопрос: если кто-то редактирует записи в уже проиндексированном файле журнала, будет ли Splunk переиндексировать отредактированный файл и перезаписывать старую запись в индексе, или Splunk сохранит обе записи (одну до редактирования и одну. после редактирования). То, что я пытаюсь подтвердить здесь, это то, что если я хочу посмотреть журналы аудита за последний месяц через Splunk, и если кто-то удалит запись в исходном файле журнала только на прошлой неделе, будет ли запись, которую кто-то удалил, по-прежнему отображаться в поиске Splunk ?
Насколько я понимаю, если кто-то будет редактировать файл журнала, то будет ли Splunk переиндексировать файл, будет зависеть от характера редактирования. (Дополнительную информацию о том, как Splunk решает, нужно ли переиндексировать файл, можно найти на http://docs.splunk.com/Documentation/Splunk/7.0.2/Data/Howlogfilerotationishandled ).
Однако даже если Splunk переиндексирует файл журнала, он все равно будет существовать в индексе Splunk, как и при первоначальной индексации, а вторая копия записей журнала будет существовать в индексе Splunk.
Таким образом, даже если кто-то удалит запись журнала, она останется в индексе Splunk.