Splunk – 监控文件
Splunk – 监控文件
Splunk Enterprise 会在出现新数据时监控文件或目录并为其编制索引。您还可以指定挂载或共享目录,包括网络文件系统,只要 Splunk Enterprise 可以从该目录中读取。如果指定的目录包含子目录,只要可以读取目录,监视器进程就会递归地检查它们是否有新文件。
您可以使用白名单和黑名单来包括或排除文件或目录的读取。
如果您禁用或删除监视器输入,Splunk Enterprise 不会停止索引文件:输入引用。它只会再次停止检查这些文件。
您指定文件或目录的路径,监视器处理器使用写入该文件或目录的任何新数据。这就是您可以监控实时应用程序日志的方式,例如来自 Web 访问日志、Java 2 平台或 .NET 应用程序等的日志。
将文件添加到监视器
使用 Splunk Web 界面,我们可以添加要监控的文件或目录。我们转到Splunk 主页 → 添加数据 → 监控,如下图所示 –
单击 Monitor 时,它会显示可用于监视文件的文件类型和目录列表。接下来,我们选择要监视的文件。
接下来,我们选择默认值,因为 Splunk 能够解析文件并自动配置监控选项。
在最后一步之后,我们看到以下结果,它从要监视的文件中捕获事件。
如果事件中的任何值发生更改,则上述结果将更新以显示最新结果。