Splunk - ตรวจสอบไฟล์

Splunk Enterprise ตรวจสอบและจัดทำดัชนีไฟล์หรือไดเร็กทอรีเมื่อข้อมูลใหม่ปรากฏขึ้น คุณยังสามารถระบุไดเร็กทอรีที่ต่อเชื่อมหรือแชร์รวมถึงระบบไฟล์เครือข่ายตราบใดที่ Splunk Enterprise สามารถอ่านจากไดเร็กทอรี หากไดเร็กทอรีที่ระบุมีไดเร็กทอรีย่อยกระบวนการมอนิเตอร์จะตรวจสอบไฟล์ใหม่ซ้ำ ๆ ตราบใดที่สามารถอ่านไดเร็กทอรีได้

คุณสามารถรวมหรือแยกไฟล์หรือไดเรกทอรีไม่ให้อ่านได้โดยใช้รายการที่อนุญาตและบัญชีดำ

หากคุณปิดใช้งานหรือลบอินพุตของจอภาพ Splunk Enterprise จะไม่หยุดการสร้างดัชนีไฟล์: การอ้างอิงอินพุต เพียงหยุดตรวจสอบไฟล์เหล่านั้นอีกครั้ง

คุณระบุพา ธ ไปยังไฟล์หรือไดเร็กทอรีและโปรเซสเซอร์มอนิเตอร์ใช้ข้อมูลใหม่ที่เขียนไปยังไฟล์หรือไดเร็กทอรีนั้น นี่คือวิธีที่คุณสามารถตรวจสอบบันทึกแอปพลิเคชันแบบสดเช่นที่มาจากบันทึกการเข้าถึงเว็บแพลตฟอร์ม Java 2 หรือแอปพลิเคชัน. NET เป็นต้น

เพิ่มไฟล์ใน Monitor

ด้วยการใช้อินเทอร์เฟซเว็บ Splunk เราสามารถเพิ่มไฟล์หรือไดเรกทอรีที่จะตรวจสอบได้ พวกเราไปSplunk Home → Add Data → Monitor ดังแสดงในภาพด้านล่าง -

เมื่อคลิก Monitor จะแสดงรายการประเภทไฟล์และไดเร็กทอรีที่คุณสามารถใช้เพื่อมอนิเตอร์ไฟล์ ต่อไปเราเลือกไฟล์ที่เราต้องการตรวจสอบ

ต่อไปเราจะเลือกค่าเริ่มต้นเนื่องจาก Splunk สามารถแยกวิเคราะห์ไฟล์และกำหนดค่าตัวเลือกสำหรับการตรวจสอบโดยอัตโนมัติ

หลังจากขั้นตอนสุดท้ายเราจะเห็นผลลัพธ์ด้านล่างซึ่งรวบรวมเหตุการณ์จากไฟล์ที่จะตรวจสอบ

หากค่าใด ๆ ในเหตุการณ์เปลี่ยนแปลงผลลัพธ์ข้างต้นจะได้รับการอัปเดตเพื่อแสดงผลลัพธ์ล่าสุด