0

如何使用驻留在远程 unix 服务器上的日志文件配置 splunk。

通常我登录腻子到一个linux服务器,从那里我ssh到另一个公司服务器,在那里我浏览目录并执行我的操作,主要是cat,zcat等,使用grep过滤器。前任:

  • 1) 从 putty 登录到 example_server
  • 2) ssh 到 ssh_server
  • 3)cd 到 req 目录
  • 4)执行猫等,

顺便说一句,ssh_server 不允许直接从 putty 登录,我必须先登录到 example_server,然后再登录到 ssh_server。

现在我如何配置这些日志文件以供 splunk 使用,以在我使用 grep 时搜索字符串。我已经在我的笔记本电脑上安装了 splunk,通过单击添加数据>文件和目录>添加新它显示您的数据字段的完整路径,我应该用什么路径填充它?

4

1 回答 1

1

您笔记本电脑上的 Splunk 实例只能索引它可以“看到”的文件和目录。数据可以在网络共享或本地卷上,这很好。但是,如果您无法从笔记本电脑访问文件或目录,Splunk 无法从您的笔记本电脑对其进行索引。

但是,如果您将笔记本电脑 Splunk 配置为接收器,您可以在 Linux 系统上安装 Splunk 通用转发器并将数据转发到您的笔记本电脑。

但是,如果您的笔记本电脑并不总是在网络上接收转发的数据,这可能不是最佳解决方案。您可以改为简单地将文件 ftp 到您的笔记本电脑的某个本地目录中,然后使用上传选项将文件临时添加到 Splunk。(将文件上传到 Splunk 后,您可以删除本地副本。)

于 2012-01-18T09:15:49.323 回答