Splunk - Dateien überwachen

Splunk Enterprise überwacht und indiziert die Datei oder das Verzeichnis, sobald neue Daten angezeigt werden. Sie können auch ein bereitgestelltes oder freigegebenes Verzeichnis angeben, einschließlich Netzwerkdateisystemen, sofern Splunk Enterprise aus dem Verzeichnis lesen kann. Wenn das angegebene Verzeichnis Unterverzeichnisse enthält, überprüft der Überwachungsprozess diese rekursiv auf neue Dateien, solange die Verzeichnisse gelesen werden können.

Sie können Dateien oder Verzeichnisse mithilfe von Whitelists und Blacklists ein- oder ausschließen.

Wenn Sie eine Monitoreingabe deaktivieren oder löschen, beendet Splunk Enterprise die Indizierung der Dateien nicht: Eingabereferenzen. Es überprüft nur noch einmal diese Dateien erneut.

Sie geben den Pfad zu einer Datei oder einem Verzeichnis an, und der Monitorprozessor verwendet alle neuen Daten, die in diese Datei oder dieses Verzeichnis geschrieben wurden. Auf diese Weise können Sie Live-Anwendungsprotokolle überwachen, z. B. solche, die aus Webzugriffsprotokollen, Java 2 Platform- oder .NET-Anwendungen usw. stammen.

Fügen Sie dem Monitor Dateien hinzu

Über die Splunk-Weboberfläche können wir zu überwachende Dateien oder Verzeichnisse hinzufügen. Wir gehen zuSplunk Home → Add Data → Monitor wie im folgenden Bild gezeigt -

Wenn Sie auf Überwachen klicken, wird die Liste der Dateitypen und des Verzeichnisses angezeigt, mit denen Sie die Dateien überwachen können. Als nächstes wählen wir die Datei aus, die wir überwachen möchten.

Als Nächstes wählen wir die Standardwerte aus, da Splunk die Datei analysieren und die Optionen für die automatische Überwachung konfigurieren kann.

Nach dem letzten Schritt sehen wir das folgende Ergebnis, das die Ereignisse aus der zu überwachenden Datei erfasst.

Wenn sich einer der Werte im Ereignis ändert, wird das obige Ergebnis aktualisiert, um das neueste Ergebnis anzuzeigen.