我们正在尝试使用Splunk通用转发器监控服务器上的日志文件。 Splunk转发器正在监视日志目录(比如/ logs / app3 / Oct2015)。
Splunk文档告诉我们可以使用黑名单来停止监视任何不需要的目录。因此,我的input.conf在这里:( Splunk Documentation)
/opt/splunkforwarder/etc/system/local/inputs.conf:
[monitor:///logs/app3/Oct2015/]
sourcetype = access_common
ignoreOlderThan = 7d
recurse = true
_TCP_ROUTING = toLogAggregator
blacklist = /opt/splunkforwarder/...
[blacklist:/opt/splunkforwarder/...]
这是我的输出配置 -
/opt/splunkforwarder/etc/system/local/outputs.conf: (Splunk Documentation on Output)
[tcpout]
defaultGroup = toBeIgnored
# This target group will redirect events to Log aggregator listening on TCP socket.
[tcpout:toLogAggregator]
server = 10.20.176.207:9997
sendCookedData = false
[tcpout:toBeIgnored]
当我运行Splunk Universal Forwarder(v6.3)时,我成功地能够监控我的日志目录,但Splunk也向我发送了自己的日志。我添加了一个黑名单节,以阻止Splunk监控并向我发送自己的日志,但没有运气。我的聚合器服务器不断收到与我正在监控的日志混合的Splunk日志。
我添加了一个TCP输出组来默认排除事件,并明确标记我的受监控目录以使用不同的TCP组路由日志,但这也不起作用。仍然受到Splunk日志的轰炸。
有谁知道,如何通过电话Splunk Forwarder不监控自己,但只监控我要求的目录?
的问候,
-Vipul;
答案 0 :(得分:1)
默认情况下,/ opt / splunkforwarder / etc / apps /中有一个插件,名为 SplunkUniversalForwarder 。在插件目录中,有一个包含inputs.conf文件的默认目录。该文件包含$ SPLUNK_HOME / var / log文件夹的监视语句。
我禁用了他们和Bingo,Splunk停止了使用Splunk日志充斥目的地,同时发送我要求Splunk转发的内容。
所有细节都在这里: https://answers.splunk.com/answers/320050/how-to-tell-a-splunk-universal-forwarder-to-not-to.html