add objects
savedsearches
reports
eventtypes: 通过保存search,typelearner比对punct等方式
transactions
dashboards
form searches
views
fields
_raw
_time
date_hour
date_mday
date_minute
date_month
date_second
date_wday
date_year
date_zone
_indextime
_cd: 记录event在哪个index bucket,以及bucket内的offset
host
index
linecount
punct
source
sourcetype
splunk_server
timestamp
tags
field extractions
lookups
search commands
$SPLUNK_HOME/etc/apps/$oneapp
Default
app.conf
inputs.conf
savedsearches.conf
viewstates.conf
setup.xml
restmap.conf
alert_actions.conf
data
ui
views
manager
data_inputs_script.xml
alerts
<custom_alert>.html
Appserver
static
appIcon.png 显示在主页的应用列表
appIconAlt.png 显示在顶部菜单栏
appLogo.png 应用本身的logo
*_2x.png 高分辨率
README
inputs.conf.spec 用于注册modular input schema
alert_actions.conf.spec
savedsearches.conf.spec
Local(结构等同default)
create app
主页/应用/管理应用/创建应用
选择sample_app,自带search、dashboard等样式
选择barebones,只有基础框架
package
apps:
1. visible
2. 有nav
3. 有独立URL
add-ons:
1. non-visible
2. 无独立URL
3. 所有资源必须export = system,在其他app里访问
