Splunkファイルとディレクトリのデータ入力
Splunk(Windowsに4.1.5(85165))をインストールし、問題なくいくつかのログをアップロードしました。
Linuxサーバーを監視したいのですが、データソースの追加に問題があり、常に次のメッセージが表示されます。
Encountered the following error while trying to save: In handler 'monitor': Path must be absolute.
Splunk Webを使用していて、ホストフィールドの値を2つのサーバーのIPアドレスに設定し、サーバーのフルパスを/var/logに設定しました(そして他のさまざまな組み合わせを試しました)。
Linuxサーバーで、syslog.confに*.*@192.168.254.100を追加しました。
私は マニュアルを読んでください ですが、それは本当に役に立ちません。そして、私はチュートリアルの不足を見つけています。 Splunkのアイデアを今や放棄することを考えています。私は明らかにここである種の基本的な情報を欠いています。誰か助けてもらえますか?いくつかのまともなチュートリアルの方向に向けられているのは良いことです...
このすべてのデータがSplunkに送信される方法と、Splunkがデータをインターセプト/取得する方法を理解するのに問題があります。
Splunkの「モニター」は、Splunkが実行されているマシン(またはネットワーク上にマウントされ、実行されているマシンから読み取ることができるドライブ)にあるファイルのみを読み取ることができます。 「ホスト」フィールドは、別のマシンから読み取ることができるように見える場合がありますが、リモートホストに接続するのではなく、ファイルの送信元のコンピューターを識別するためにあります。 このページ ネットワーク上にSplunkをセットアップするためのさまざまなアイデアがあります。すべてのマシンでSplunkを実行し、ログを中央インデクサーに転送することが「ベストプラクティス」のようです。これにより、syslogによって制御されていないログファイル(Apacheログなど)にアクセスでき、ローカルのSplunkシステムがメインのSplunkサーバーがダウンした場合のデータ。それ以外の場合、syslogを使用する場合は、 このページ Windowsでsyslog-ngをセットアップしてsyslogメッセージを受信し、Splunkをsyslog-ngから読み取るようにセットアップする方法について説明します。