出于安全考虑,我正在使用Splunk Enterprise ......
但目前我的Splunk中有很多无关数据。通过仪表板查看,我发现了许多我不需要的性能和运行状态数据。问题是我的splunk许可证允许我在24小时内分析2gb的数据。我想说,目前通过系统的70%数据与安全无关,系统是作为安全监控系统采购的。
我想找到一种方法来减少"转发器"发送回Splunk后端进行处理。即排除分析中的所有性能和操作数据。
我的目的是利用释放的带宽将一些Anti Virus和Firewall日志推送到splunk而不是服务器性能数据。
我真的很感激这方面的一些帮助。我搜索过以前的问题,但似乎无法找到答案。但是,如果有一个页面,你知道我在哪里可以找到我的答案,请发给我链接:)
亲切的问候
维拉
答案 0 :(得分:0)
听起来你已经采用了现成的技术插件'并将其作为应用程序部署在某些服务器上的splunk转发器中?
如果是:
您将在应用程序中找到inputs.conf,并根据需要进行调整
http://docs.splunk.com/Documentation/Splunk/6.5.0/Admin/Inputsconf
您只需使用disabled = true
答案 1 :(得分:0)
Splunk论坛已经回答了同样的问题:
https://answers.splunk.com/answers/444825/how-to-limit-the-amount-of-data-that-a-splunk-univ.html
对于遇到相同问题的其他人,请参阅上面链接中发布的两个答案,以及另一个Splunk论坛页面中的this answer,了解不同的选项。