как настроить логи как источник данных с удаленного Unix-сервера в SpLunk - PullRequest
Новая
       20

как настроить логи как источник данных с удаленного Unix-сервера в SpLunk

0 голосов
/ 07 декабря 2011

как настроить Splunk с файлами журналов, находящимися на удаленных серверах Unix.

Обычно я вхожу в шпаклевку на сервер Linux, оттуда я ssh на другой сервер компании, там я перемещаюсь по каталогам и в основном выполняю свои операциикак cat, zcat и т. д., с фильтрами grep.Пример:

  • 1) войти в example_server из шпаклевки
  • 2) ssh в ssh_server
  • 3) cd для получения запроса
  • 4) выполнитьcat и т. д.,

Кстати, ssh_server не разрешит прямой вход в систему из putty, сначала я должен войти в example_server, а затем в ssh_server.

Теперь, как я могу настроитьэти файлы журналов, которые будут использоваться splunk для поиска строки, как я использую grep для.Я установил Splunk на своем ноутбуке, и, нажав «Добавить данные»> «Файлы и каталог»> «Добавить новый», вы увидите полный путь к полю данных, каким путем мне его заполнить?

1 Ответ

1 голос
/ 18 января 2012

Экземпляр Splunk на вашем ноутбуке может индексировать только те файлы и каталоги, которые он может «видеть».Данные могут быть в общем сетевом или локальном томе, это нормально.Но если вы не можете получить доступ к файлу или каталогу со своего ноутбука, Splunk не сможет проиндексировать его со своего ноутбука.

Однако, если вы сконфигурируете свой ноутбук Splunk в качестве приемника, вы можете установить Splunk Universal Forwarder.в системе (ах) Linux и пересылки данных на ваш ноутбук.

Но, если ваш ноутбук не всегда находится в сети для приема переадресованных данных, это может быть не лучшим решением.Вместо этого вы можете просто закачать ftp файлы на свой ноутбук в какой-то локальный каталог, а затем использовать опцию Upload, чтобы добавлять файлы в Splunk на разовой основе.(После загрузки файла в Splunk вы можете удалить локальную копию.)

...