Splunk: ввод данных с порта TCP не отображается в источниках данных поиска

Question

Таким образом, проблема сводится к -

1. Перенаправление вывода моего $ python script.py на порт TCP с помощью nc.
2. Захват данных для удаленного прослушивания порта.
3. Теперь, когда я удаленно прослушиваю поток этого номера порта с помощью nc, данные перенаправляются правильно.
4. Когда я добавляю данные на входы для прослушивания порта в Splunk, я не получаю никакогоданные (там нет системного журнала или журналов от торнадо).
5. Кроме того, ничего не добавляется к источникам данных, когда я нажимаю вкладку поиска в Splunk (все визуальные).
6. Когда я используюфайл и перенаправить вывод порта в этот файл с помощью nc, а затем использовать этот файл в качестве источника для Splunk, он отлично работает.

Теперь, в соответствии с пунктом 6, я бы получил свои результаты путем избыточного хранения моеговойти в временный файл и Splunk, который не является желательным.И в соответствии с пунктом 4, мои данные не отображаются напрямую, когда Splunk прослушивает мой TCP-порт.

Пожалуйста, помогите.

Answer 1

Итак, проблема была в том, что: когда номер порта прослушивается самим nc на зараженном компьютере, он не становится источником данных в самом splunk. Что, безусловно, имеет смысл, поскольку данные будут потеряны для nc до того, как они попадут в спанк.

Это показывает лазейку в спленке, которую можно исправить. Они указывают на занятые порты, но они также должны указывать нашим нескольким слушателям на этот порт.

Мой вопрос закрыт.