第一步

在limits.conf配置文件中新增如下参数

[default]
regex_cpu_profiling = true 
#为RegexProcessor启用CPU时间指标。输出将在metrics.log文件中
#metrics.log中的条目将显示为per_host_regex_cpu，per_source_regex_cpu，
#per_sourcetype_regex_cpu，per_index_regex_cpu。
#默认值：false

[metrics]
maxseries = 50
#要包含在metrics.log的per_x_thruput报告中的系列数。
#默认值：10

第二步

重启splunk

第三步

Goto splunk UI查询

哪种来源类型占用了最多的CPU时间

index=_internal host= source=*metrics.log group=per_sourcetype_regex_cpu |timechart max(cpu) by series

哪种事件类型占用每个事件的大部分CPU时间

index=_internal host= source=*metrics.log group=per_sourcetype_regex_cpu |timechart max(cpupe) by series

重复查询per_host_regex_cpu，per_source_regex_cpu和per_index_regex_cpu

• cpu 给定系列的总cpu时间
• cpupe 给定系列的每个事件的cpu时间
• bytes 给定系列的总字节进程
• ev 给定系列的总事件