如何使用驻留在远程unix服务器上的日志文件配置splunk?
通常我登录putty到linux服务器,从那里我ssh到另一个公司服务器,我浏览目录并主要使用grep过滤器以cat,zcat等方式执行我的操作。例如:
ssh_server不会直接允许从putty登录,我必须首先登录到example_server然后再登录到ssh_server。
如何配置这些日志文件供splunk用于搜索字符串,类似于我使用grep的方式。我在我的笔记本电脑上安装了splunk,点击add data > files和dir > add new它显示了数据字段的完整路径,我应该用什么路径填充它?
答案 0 :(得分:0)
最简单的答案是在远程Linux系统上安装Splunk Universal Forwarder(UF)。 UF是免费的,不需要许可证。
了解更多信息 - http://docs.splunk.com/Documentation/Splunk/latest/Data/Usingforwardingagents
答案 1 :(得分:0)
如果无法在受监控的服务器上安装任何新的二进制文件(就像我的情况一样),您应该评估其他选项:
在splunk中使用脚本选项中的获取日志数据,并创建一个类似于以下内容的脚本: ssh user@10.10.10.10 cat /var/logs/logfile.log 警告:如果您有一个短的轮询间隔和大日志,它将会破坏您的索引,因为每次轮询文件时都会注册每个日志事件。
使用cron作业runnig rsync镜像splunk服务器上的日志localy: 这份工作看起来像这样 / usr / bin / rsync -az user@10.10.10.10:/ var / logs / / var / remoteLogs / 在这种情况下,每个添加的行只会生成一个日志事件,即splunk
对于两个解决方案,安装SSH密钥是必需的