我当前正在尝试设置一个在AWS EC2实例上运行的Splunk服务器,以从AWS收集数据。对于CloudTrail,VPC Flowlogs和一般的CloudWatch日志,它都可以正常工作,但是我目前在使Route 53 DNS查询日志正常工作方面有些挣扎。
我可以在CloudWatch仪表板中看到这些日志,因为它们默认情况下会传递到弗吉尼亚北部。我还在Splunk仪表板中选择了这些设置,也让我在高级部分中选择了Route 53,但Splunk中仍然没有DNS日志。
我也不确定默认的'HealthCheckId'维度是否正确,并带有相应的[[{“ HealthCheckId”:[“。*”]}]'维度值。
也许有人遇到了同样的问题,并指出了我的错误,因为我无法真正在网上找到任何东西,而且我也不知道还有什么要改变的。
谢谢, 汤姆
答案 0 :(得分:0)
好吧,我自己弄清楚了。
我选择了错误的输入格式,正确的输入格式是“ VPC Flow Logs”,然后是“ CloudWatch Logs”,当然是配置了正确的日志组和区域。
现在,所有内容都会按原样导入,并且可以在Splunk中搜索和显示。