📜  Splunk-监视文件

📅  最后修改于: 2020-11-29 08:15:50             🧑  作者: Mango


当出现新数据时,Splunk Enterprise会监视文件或目录并为其建立索引。只要Splunk Enterprise可以从目录中读取,您还可以指定一个已安装或共享的目录,包括网络文件系统。如果指定目录包含子目录,那么只要可以读取目录,监视进程就会递归地检查它们是否有新文件。

您可以使用白名单和黑名单来包括或排除文件或目录的读取。

如果禁用或删除监视器输入,Splunk Enterprise不会停止索引文件:输入引用。它只会停止再次检查这些文件。

您指定文件或目录的路径,监视处理器将使用写入该文件或目录的所有新数据。这样可以监视实时应用程序日志,例如来自Web访问日志,Java 2 Platform或.NET应用程序的日志。

将文件添加到监视器

使用Splunk Web界面,我们可以添加要监视的文件或目录。我们转到Splunk主页→添加数据→监视器,如下图所示-

监视文件1

单击“监视”后,它会显示文件类型列表和可用于监视文件的目录。接下来,我们选择要监视的文件。

监控文件2

接下来,我们选择默认值,因为Splunk能够解析文件并配置用于自动监视的选项。

完成最后一步后,我们将看到以下结果,该结果捕获了要监视的文件中的事件。

监控文件3

如果事件中的任何值发生更改,则以上结果将更新以显示最新结果。