我有主机详细信息列表和日志目录。我需要获取日志以将关键字摄取到以下列表中的 splunk 警告、错误、关键、ORA-* 日志中
问问题
139 次
1 回答
1
试图将其分解为主要步骤。也许已经遵循了一些步骤,但只是滚动浏览。
主机需要安装通用转发器并将数据发送到您的索引层。
您需要在转发器上创建一个应用程序并添加一个 inputs.conf $SPLUNK_HOME$/etc/apps/your_app/local/inputs.conf
[monitor:///var/log/my_app/oracle.log]
disabled = 0
index = oracle
sourcetype = your_sourcetype
- 在索引器上,您需要一个应用程序来仅过滤您需要的日志行。将 props/transforms 文件放在一个类似命名的应用程序中
$SPLUNK_HOME$/etc/apps/your_app/local/props.conf
$SPLUNK_HOME$/etc/apps/your_app/local/transforms.conf
道具.conf
[your_sourcetype]
TRANSFORMS-set = setnull, setparsing
转换.conf
# This sends all events to be ignored
[setnull]
REGEX = .
DEST_KEY = queue
FORMAT = nullQueue
# this says ignore all events, except the ones containing ERROR
[setparsing]
REGEX = Error|Warning|ORA-\d{0,5}|Critical
DEST_KEY = queue
FORMAT = indexQueue
[your_sourcetype1]
TRANSFORMS-set = setnull, setparsing
[your_souretype2]
TRANSFORMS-set = setnull, setparsing
- 最后但同样重要的是,不要忘记在转发器和索引器上重新启动 splunk
于 2020-09-11T19:45:56.980 回答