Splunk 监控文件
Splunk Enterprise 会在出现新数据时监控文件或目录并为其编制索引。您还可以指定挂载或共享目录,包括网络文件系统,只要 Splunk Enterprise 可以从该目录中读取。如果指定的目录包含子目录,只要目录可以读取,监控进程就会递归地检查它们是否有新文件。
您可以使用白名单和黑名单来包含或排除文件或目录以使其不被读取。
如果您禁用或删除监视器输入,Splunk Enterprise 不会停止索引文件:输入引用。它只会再次停止检查这些文件。
您指定文件或目录的路径,监视器处理器使用写入该文件或目录的任何新数据。您可以通过这种方式监控实时应用程序日志,例如来自 Web 访问日志、Java 2 平台或 .NET 应用程序等的日志。
将文件添加到监视器
使用 Splunk 网页界面,我们可以添加要监控的文件或目录。我们转到 Splunk 主页 → 添加数据 → 监控,如下图所示:
单击"监视"后,会显示可用于监视文件的文件类型和目录列表。接下来,我们选择要监控的文件。
接下来,我们选择默认值,因为 Splunk 能够解析文件并自动配置监控选项。
在最后一步之后,我们看到以下结果,它从要监控的文件中捕获事件。
如果事件中的任何值发生变化,则上述结果会更新以显示最新结果。
sort 命令按指定字段对所有结果进行排序。如果顺序是降序或升序,则缺失的字段将被视为具有该字段的最小或最大可能值。如果 sort 命令的第一个参数是一个数字,则最多按顺序返回该数量的结果。如果未指定数字 ...