リモートUNIXサーバに存在するログファイルを使用してsplunkを設定するにはどうすればよいですか?ログをリモートUNIXサーバからsplunkでデータソースとして設定するにはどうしたらいいですか?
通常、私はLinuxサーバにログインします。そこから別の会社のサーバにsshでログインし、ディレクトリをナビゲートして、主にcat、zcatなどのgrepフィルタを使用して操作します。例:
ssh_serverは直接からログインすることを許可しません
grepの使用方法と同様に、これらのログファイルをsplunkが文字列を検索するために使用するように設定する方法を教えてください。ラップトップにsplunkをインストールしました。add data > filesとdir > add newをクリックすると、データフィールドへのフルパスが表示されます。どのパスを入力すればよいですか?
最も簡単な答えは、リモートLinuxシステムにSplunk Universal Forwarder(UF)をインストールすることです。 UFは無料でライセンスを必要としません。詳細情報については
からhttp://docs.splunk.com/Documentation/Splunk/latest/Data/Usingforwardingagents
あなたが他のオプションを評価する必要があります(私の場合のように)監視対象のサーバー上の任意の新しいバイナリをインストールすることはできません場合:
GETを使用してsplunkのスクリプトオプションからデータをログに記録し、以下のようなスクリプトを作成します。 ssh [email protected] cat /var/logs/logfile.log 警告:ポーリング間隔が短く、ログが大きい場合はインデックスが壊れます各ログイベントは、ファイルをポーリングするたびに登録されます。 ジョブは、この は/ usr/binに/ rsyncの-az [email protected]のようになります:は/ var /ログ/の/ varとlocalYのSplunkサーバー上のログをミラーリングするのrsyncをrunnig cronジョブを使用して
/remoteLogs /この場合 追加されたすべての行は、単一のログイベントが生成されます、私はSSHキーをインストールし、両方のソリューションのための
をSplunkが
必須です私は、serverfaultのためにこの質問を取るか、スーパーユーザー(というかでしょうSplunkのマニュアルを1回使用してください) – sehe