Splunk-파일 모니터링

Splunk Enterprise는 새 데이터가 나타날 때 파일 또는 디렉터리를 모니터링하고 인덱싱합니다. Splunk Enterprise가 디렉토리에서 읽을 수있는 한 네트워크 파일 시스템을 포함하여 마운트 또는 공유 디렉토리를 지정할 수도 있습니다. 지정된 디렉토리에 하위 디렉토리가 포함 된 경우 모니터 프로세스는 디렉토리를 읽을 수있는 한 새 파일이 있는지 반복적으로 검사합니다.

화이트리스트 및 블랙리스트를 사용하여 파일 또는 디렉토리를 읽지 못하도록 포함하거나 제외 할 수 있습니다.

모니터 입력을 비활성화하거나 삭제하는 경우 Splunk Enterprise는 파일 인덱싱 (입력 참조)을 중지하지 않습니다. 해당 파일을 다시 확인하는 것만 중지합니다.

파일 또는 디렉토리의 경로를 지정하면 모니터 프로세서가 해당 파일 또는 디렉토리에 기록 된 새 데이터를 사용합니다. 웹 액세스 로그, Java 2 플랫폼 또는 .NET 응용 프로그램 등에서 오는 것과 같은 라이브 응용 프로그램 로그를 모니터링하는 방법입니다.

모니터에 파일 추가

Splunk 웹 인터페이스를 사용하여 모니터링 할 파일 또는 디렉터리를 추가 할 수 있습니다. 우리는 간다Splunk Home → Add Data → Monitor 아래 이미지와 같이-

모니터를 클릭하면 파일을 모니터링하는 데 사용할 수있는 파일 유형 및 디렉토리 목록이 표시됩니다. 다음으로 모니터링 할 파일을 선택합니다.

다음으로 Splunk가 파일을 구문 분석하고 모니터링 옵션을 자동으로 구성 할 수 있으므로 기본값을 선택합니다.

마지막 단계 후 모니터링 할 파일에서 이벤트를 캡처하는 아래 결과가 표시됩니다.

이벤트의 값이 변경되면 위의 결과가 업데이트되어 최신 결과를 표시합니다.