Splunk - Tệp giám sát
Splunk Enterprise giám sát và lập chỉ mục tệp hoặc thư mục khi dữ liệu mới xuất hiện. Bạn cũng có thể chỉ định một thư mục được gắn kết hoặc chia sẻ, bao gồm hệ thống tệp mạng, miễn là Splunk Enterprise có thể đọc từ thư mục. Nếu thư mục được chỉ định chứa các thư mục con, quá trình giám sát sẽ kiểm tra một cách đệ quy chúng để tìm các tệp mới, miễn là các thư mục có thể được đọc.
Bạn có thể bao gồm hoặc loại trừ các tệp hoặc thư mục không được đọc bằng cách sử dụng danh sách trắng và danh sách đen.
Nếu bạn tắt hoặc xóa đầu vào màn hình, Splunk Enterprise sẽ không ngừng lập chỉ mục các tệp: tham chiếu đầu vào. Nó chỉ dừng lại việc kiểm tra các tệp đó.
Bạn chỉ định đường dẫn đến tệp hoặc thư mục và bộ xử lý màn hình sử dụng mọi dữ liệu mới được ghi vào tệp hoặc thư mục đó. Đây là cách bạn có thể theo dõi nhật ký ứng dụng trực tiếp, chẳng hạn như nhật ký đến từ nhật ký truy cập Web, Nền tảng Java 2 hoặc ứng dụng .NET, v.v.
Thêm tệp vào Màn hình
Sử dụng giao diện web Splunk, chúng ta có thể thêm các tập tin hoặc thư mục cần theo dõi. Chúng tôi đếnSplunk Home → Add Data → Monitor như thể hiện trong hình ảnh dưới đây -
Khi nhấp vào Màn hình, nó sẽ hiển thị danh sách các loại tệp và thư mục bạn có thể sử dụng để theo dõi các tệp. Tiếp theo, chúng tôi chọn tệp chúng tôi muốn theo dõi.
Tiếp theo, chúng tôi chọn các giá trị mặc định vì Splunk có thể phân tích cú pháp tệp và định cấu hình các tùy chọn để giám sát tự động.
Sau bước cuối cùng, chúng tôi thấy kết quả bên dưới ghi lại các sự kiện từ tệp cần theo dõi.
Nếu bất kỳ giá trị nào trong sự kiện thay đổi, thì kết quả trên sẽ được cập nhật để hiển thị kết quả mới nhất.