索引是一种机制，它通过为要搜索的数据段提供数字地址来加快搜索过程。 Splunk索引类似于数据库中索引的概念。 Splunk的安装将创建三个默认索引，如下所示。

• 主-这是所有处理过的数据存储的Splunk的默认索引。

• 内部-此索引是Splunk的内部日志和处理指标的存储位置。

• 审核-此索引包含与文件系统更改监视器，审核和所有用户历史记录有关的事件。

Splunk索引器创建并维护索引。当您将数据添加到Splunk时，索引器将对其进行处理并将其存储在指定的索引中(默认情况下，在主索引中或在您标识的索引中)。

检查索引

登录到Splunk后，通过转到“设置”→“索引”可以查看现有索引。下图显示了该选项。

进一步单击索引后，我们可以看到Splunk为已在Splunk中捕获的数据维护的索引列表。下图显示了这样的列表。

创建一个新索引

我们可以通过Splunk中存储的数据创建具有所需大小的新索引。输入的其他数据可以使用此新创建的索引，但搜索功能更好。创建索引的步骤是设置→索引→新建索引。出现以下屏幕，其中提到索引的名称和内存分配等。

索引事件

在创建完上面的索引之后，我们可以配置要由该特定索引建立索引的事件。我们选择事件类型。使用路径设置→数据输入→文件和目录。然后，选择要附加到新创建的事件的事件的特定文件。如下图所示，我们已将名为index_web_app的索引分配给了此特定文件。