我对Splunk很新,一直在努力理解它。我试图通过Ansible自动化Splunk转发器配置,但在此之前我想通过命令行手动尝试。
我已经在我的Red Hat机器上安装了Splunk转发器(localhost),我可以通过localhost:8000访问Splunk。现在,当我尝试按照命令添加转发服务器(索引器)和监视器(数据输入)时,我无法在UI上看到任何内容。
以下是命令:
splunk add forward-server localhost:9997 -auth admin:changeme
splunk add monitor /var/log
我的理解是它应该在设置 - > / var / log的datainputs下在UI上记录一个单独的条目,对吗?
另外,我使用以下命令启用了端口9997:
splunk enable listen 9997 -auth admin:changeme
我的问题是:
这是我的inputs.conf文件的内容:
[monitor:///var/log]
index=test_index
[splunktcp://9997]
disabled = 0
理想情况下,一旦启用端口,splunktcp也应该自动创建,但它没有被创建,我手动添加它。
答案 0 :(得分:0)
如果你想要的只是提取该方框的本地数据,你不需要在Splunk一体机盒(搜索头+索引器)中设置转发位
当您对来自远程服务器的数据感兴趣时 您需要在其上安装Splunk通用转发器,将目录/文件/脚本输出/等设置为将您监视的所有数据转发给索引器 (每个转发器将共享output.conf配置,因此您应该通过部署服务器而不是本地设置它)
答案 1 :(得分:0)
您需要outputs.conf指向您的索引器,并且必须在进行这些更改后重新启动splunkd。您还需要启用对索引器的监听。
除非是中间转发器
,否则不会按照问题中的说明启用UF监听