2

我可以上传文件并进行分析。

splunk > 搜索 > 添加更多数据 > 从文件和目录

But how do I use TCP and / or UDP?

假设我在 10.10.10.100 上托管了 splunk,我想访问 10.10.10.99 上的日志并且位置是“/var/log/somefile.log”目前我正在将文件从 99 复制到 100,然后进行分析。有没有更好的方法来动态链接到源?

4

1 回答 1

1

您有几个选项可以完成此操作:

  1. 在其上安装 Splunk 转发器10.10.10.99并将其配置为转发到10.10.10.100. 这是最可靠和最灵活的方法。请参阅http://www.splunk.com/base/Documentation/latest/Deploy/Aboutforwardingandreceivingdata

  2. .99使用 syslog 或 syslog-ng 进行从到的转发.100。然后,您可以将 Splunk 设置为监视 syslog 日志文件或直接在 syslog 网络端口上侦听,具体取决于您设置 syslog 的方式。如果您的数据中心中已经运行了 syslog,这是最有效的。

  3. 在 上设置一个原始 TCP(或 UDP)转发器.99,即netcat,并让它将数据流式传输到.100.

一般来说,您会在http://splunk-base.splunk.com/answers/上获得对 Splunk 问题的更快回复。

于 2011-07-08T21:07:01.907 回答