我可以上传文件并进行分析。
splunk > 搜索 > 添加更多数据 > 从文件和目录
But how do I use TCP and / or UDP?
假设我在 10.10.10.100 上托管了 splunk,我想访问 10.10.10.99 上的日志并且位置是“/var/log/somefile.log”目前我正在将文件从 99 复制到 100,然后进行分析。有没有更好的方法来动态链接到源?
我可以上传文件并进行分析。
splunk > 搜索 > 添加更多数据 > 从文件和目录
But how do I use TCP and / or UDP?
假设我在 10.10.10.100 上托管了 splunk,我想访问 10.10.10.99 上的日志并且位置是“/var/log/somefile.log”目前我正在将文件从 99 复制到 100,然后进行分析。有没有更好的方法来动态链接到源?
您有几个选项可以完成此操作:
在其上安装 Splunk 转发器10.10.10.99
并将其配置为转发到10.10.10.100
. 这是最可靠和最灵活的方法。请参阅http://www.splunk.com/base/Documentation/latest/Deploy/Aboutforwardingandreceivingdata
.99
使用 syslog 或 syslog-ng 进行从到的转发.100
。然后,您可以将 Splunk 设置为监视 syslog 日志文件或直接在 syslog 网络端口上侦听,具体取决于您设置 syslog 的方式。如果您的数据中心中已经运行了 syslog,这是最有效的。
在 上设置一个原始 TCP(或 UDP)转发器.99
,即netcat,并让它将数据流式传输到.100
.
一般来说,您会在http://splunk-base.splunk.com/answers/上获得对 Splunk 问题的更快回复。