我可以上传文件并进行分析。
splunk>搜索>添加更多数据>从 文件和目录
But how do I use TCP and / or UDP?
假设我在10.10.10.100上托管了splunk,我想访问10.10.10.99上的日志,位置是“/var/log/somefile.log” 目前我正在将文件从99复制到100然后进行分析。有没有更好的方法来动态链接到源?
答案 0 :(得分:1)
您有几个选项可以完成此任务:
在10.10.10.99上安装Splunk转发器,并将其配置为转发到10.10.10.100。这是最可靠和最灵活的方法。请参阅http://www.splunk.com/base/Documentation/latest/Deploy/Aboutforwardingandreceivingdata
使用syslog或syslog-ng从.99转发到.100。然后,您可以将Splunk设置为监视syslog日志文件或直接侦听syslog网络端口,具体取决于您设置syslog的方式。如果您已在数据中心运行syslog,则效率最高。
在.99上设置原始TCP(或UDP)转发器,即netcat,并将数据流传输到.100。
一般情况下,您会在http://splunk-base.splunk.com/answers/处更快地响应Splunk问题。