1: 最近配置多集群的index:
search head server 可以搜索到下面 east, west 两个 cluster 的indexer:
参考:Search across multiple indexer clusters - Splunk Documentation
上面的配置可以在search head 下面建立app 来实现:
/opt/splunk/etc/apps/XXXX_searchhead/default/server.conf
2: 如果不是cluster index, 可以通过下面的link 来实现search head 关联 CM : cluster master server:
Configure the search head with the CLI - Splunk Documentation
上面的command 执行完,然后restart 就可以到/opt/splunk/etc/system/server.conf 里面有[clustering] 的配置了。