Нужно ли устанавливать универсальный сервер пересылки на хосте (сервер, создающий журнал) для ввода по сценарию?

Question

Мне нужно перенаправить некоторые журналы, связанные с базой данных, в индексатор Spunk, используя входы по сценарию (сценарии оболочки)

Мои вопросы:

1) Нужно ли устанавливать универсальный сервер пересылки на хост?сторона?

2) Есть ли другой способ, кроме установки UF на хосте, где мы можем извлечь журналы в индексатор, используя входные данные из скрипта?

3) Чтобы выполнить это, каковы шагимне нужно следовать?

Answer 1

1) Для запуска скриптового ввода вам нужен либо универсальный форвардер, либо тяжелый форвардер.Вам понадобится HF для запуска скрипта Python.

2) См. Ответ @ Akah.

3) См. http://docs.splunk.com/Documentation/Forwarder/7.2.1/Forwarder/Abouttheuniversalforwarder

Answer 2

Вы можете использовать HTTP Event Collector , который позволяет отправлять данные в индексатор по HTTP в формате JSON.Есть примеры, чтобы показать вам, как сделать это с помощью curl (и так же по сценарию):

curl -k https://<host>:8088/services/collector -H 'Authorization: Splunk <token>' -d '{"sourcetype": "mysourcetype", "event":"Hello, World!"}' 

Вы также можете выполнить прохождение .