我有一个看起来像这样的inputs.conf:
[monitor:///var/www/site/shared/log/*]
disabled = false
followTail = 1
sourcetype=rails
crcSalt = <SOURCE>
[monitor:///var/www/site/shared/log/resque_events.log]
disabled = false
followTail = 1
sourcetype=json_predefined_timestamp
crcSalt = <SOURCE>
几个问题:
splunk加倍索引resque_events.log?
splunk是否足够聪明,可以从初始解析中找出源类型,或者我是否需要像我一样声明它?
我不确定这是否多余,我在这里寻求指导。
提前致谢!
答案 0 :(得分:1)
对于inputs.conf,更具体的监控路径将覆盖常规监控路径,因此您的resque_events.log将具有json_predefined_timestamp源类型。
如果您想了解Splunk如何读取inputs.conf,请尝试以下命令:
./splunk cmd btool inputs list --debug
http://docs.splunk.com/Documentation/Splunk/latest/admin/inputsconf