如何使用驻留在远程unix服务器上的日志文件配置splunk。
通常我会把putty登录到linux服务器,从那里我ssh到另一个公司服务器 在那里我浏览目录并主要使用grep过滤器执行我的操作,如cat,zcat等。 例如:
BTW ssh_server不允许直接从putty登录,我必须首先登录到example_server,然后再登录到ssh_server。
现在我如何配置这些日志文件供splunk用来搜索字符串,因为我使用grep for。 我在笔记本电脑上安装了splunk,点击添加数据>文件和dir>添新 它显示了你的数据字段的完整路径,我应该填充它的路径?
答案 0 :(得分:1)
笔记本电脑上的Splunk实例只能索引它可以“看到”的文件和目录。数据可以在网络共享或本地卷上,这很好。但是,如果您无法从笔记本电脑访问该文件或目录,Splunk无法从您的笔记本电脑中对其进行索引。
但是,如果您将笔记本电脑Splunk配置为接收器,则可以在Linux系统上安装Splunk Universal Forwarder,并将数据转发到您的笔记本电脑。
但是,如果您的笔记本电脑并非总是在网络上接收转发的数据,那么这可能不是最佳解决方案。您可以简单地将文件ftp到某个本地目录中的笔记本电脑,然后使用Upload选项将文件临时添加到Splunk中。 (将文件上传到Splunk后,您可以删除本地副本。)