Splunk-モニターファイル

Splunk Enterpriseは、新しいデータが表示されると、ファイルまたはディレクトリを監視してインデックスを作成します。Splunk Enterpriseがディレクトリから読み取ることができる限り、ネットワークファイルシステムを含むマウントまたは共有ディレクトリを指定することもできます。指定されたディレクトリにサブディレクトリが含まれている場合、ディレクトリを読み取ることができる限り、監視プロセスはそれらに新しいファイルがないか再帰的に調べます。

ホワイトリストとブラックリストを使用して、ファイルまたはディレクトリの読み取りを含めたり除外したりできます。

モニター入力を無効にするか削除しても、Splunk Enterpriseはファイルのインデックス作成を停止しません：入力参照。それらのファイルのチェックを再度停止するだけです。

ファイルまたはディレクトリへのパスを指定すると、モニタプロセッサはそのファイルまたはディレクトリに書き込まれた新しいデータをすべて消費します。これは、Webアクセスログ、Java 2 Platform、または.NETアプリケーションなどからのライブアプリケーションログを監視する方法です。

モニターにファイルを追加する

Splunk Webインターフェースを使用して、監視するファイルまたはディレクトリを追加できます。私たちは行くSplunk Home → Add Data → Monitor 下の画像に示すように-

[監視]をクリックすると、ファイルの種類とファイルの監視に使用できるディレクトリのリストが表示されます。次に、監視するファイルを選択します。

次に、Splunkがファイルを解析し、監視のオプションを自動的に構成できるため、デフォルト値を選択します。

最後のステップの後、監視対象のファイルからイベントをキャプチャする以下の結果が表示されます。

イベントの値のいずれかが変更されると、上記の結果が更新され、最新の結果が表示されます。