如果編輯了已編入索引的文件，Splunk 會更新索引嗎？

我們的 Splunk 伺服器索引來自其客戶端的審計日誌。我們每週一次通過 Splunk 搜尋審核這些日誌。我的問題是，如果有人編輯已編入索引的日誌文件中的條目，Splunk 會重新索引編輯過的文件並覆蓋索引中的舊條目，還是 Splunk 會保留兩個條目（一個在編輯前，一個在編輯後）。我在這裡要確認的是，如果我要通過 Splunk 查看上個月的審核日誌，並且有人僅在上週刪除了原始日誌文件的條目，那麼某人刪除的條目是否仍會出現在 Splunk 搜尋中?

我的理解是，如果有人要編輯日誌文件，那麼 Splunk 是否會重新索引該文件將取決於編輯的性質。（有關 Splunk 如何決定是否重新索引文件的更多資訊，請訪問http://docs.splunk.com/Documentation/Splunk/7.0.2/Data/Howlogfilerotationishandled）。

但是，即使 Splunk 確實重新索引了日誌文件，該日誌文件仍會存在於 Splunk 索引中，就像最初建立索引時一樣，並且日誌條目的第二個副本將存在於 Splunk 索引中。

因此，即使有人刪除了日誌條目，它也會保留在 Splunk 索引中。

引用自：https://serverfault.com/questions/887005