当出现新数据时，Splunk Enterprise会监视文件或目录并为其建立索引。只要Splunk Enterprise可以从目录中读取，您还可以指定一个已安装或共享的目录，包括网络文件系统。如果指定目录包含子目录，那么只要可以读取目录，监视进程就会递归地检查它们是否有新文件。

您可以使用白名单和黑名单来包括或排除文件或目录的读取。

如果禁用或删除监视器输入，Splunk Enterprise不会停止索引文件：输入引用。它只会停止再次检查这些文件。

您指定文件或目录的路径，监视处理器将使用写入该文件或目录的所有新数据。这样可以监视实时应用程序日志，例如来自Web访问日志，Java 2 Platform或.NET应用程序的日志。

将文件添加到监视器

使用Splunk Web界面，我们可以添加要监视的文件或目录。我们转到Splunk主页→添加数据→监视器，如下图所示-

单击“监视”后，它会显示文件类型列表和可用于监视文件的目录。接下来，我们选择要监视的文件。

接下来，我们选择默认值，因为Splunk能够解析文件并配置用于自动监视的选项。

完成最后一步后，我们将看到以下结果，该结果捕获了要监视的文件中的事件。

如果事件中的任何值发生更改，则以上结果将更新以显示最新结果。