我正在尝试使用Splunk在我们的部署中记录来自IIS的消息。我注意到,当我从自定义AMI / Image中启动新的EC2实例时,它具有相同的PC'主机名'作为从中创建的父图像。
如果我在这台新服务器上设置了splunk转发器,它将使用与原始映像相同的主机名转发数据,从而区分报告不可能。
有没有人知道我可以在创建EC2实例时动态设置主机名,或者在splunk中配置它,以便我为新转发器指定主机名?
非常感谢您提供任何帮助!
答案 0 :(得分:0)
如果您正在构建AMI,只需使用简单的启动脚本进行烘焙即可动态设置计算机主机名。
如果使用预建的AMI,请在机器运行后连接到机器并设置主机名(相同的脚本)。
OR
通过Splunk:配置了主机名。只需更新这些或在设置主机名后运行splunk设置。 $ SPLUNKHOME / etc / system中/本地/ inputs.conf $ SPLUNKHOME的/ etc /系统/本地/ server.conf中
上面的脚本构思也适用于此(猜测你已经在那里用spunk烘焙了AMI)。
答案 1 :(得分:0)
Splunk具有各种“陈旧的”配置,不应在Splunk Enterprise的多个实例或通用转发器之间共享。
您可以使用内置的Splunk命令清除这些过时的数据。
./splunk clone-prep-clear-config
请参阅:http://docs.splunk.com/Documentation/Splunk/7.1.3/Admin/Integrateauniversalforwarderontoasystemimage