Учебники

Splunk – монитор файлов

Splunk Enterprise отслеживает и индексирует файл или каталог по мере появления новых данных. Вы также можете указать подключенный или общий каталог, включая сетевые файловые системы, если Splunk Enterprise может читать из каталога. Если указанный каталог содержит подкаталоги, процесс монитора рекурсивно проверяет их на наличие новых файлов, пока каталоги могут быть прочитаны.

Вы можете включить или исключить чтение файлов или каталогов с помощью белых и черных списков.

Если вы отключите или удалите вход монитора, Splunk Enterprise не прекращает индексирование файлов: ссылки на входы. Это только перестает проверять эти файлы снова.

Вы указываете путь к файлу или каталогу, и процессор монитора использует все новые данные, записанные в этот файл или каталог. Таким образом вы можете отслеживать журналы приложений в реальном времени, например журналы веб-доступа, приложения Java 2 Platform или .NET и т. Д.

Добавить файлы в монитор

Используя веб-интерфейс Splunk, мы можем добавлять файлы или каталоги для мониторинга. Мы идем в Splunk Home → Добавить данные → Монитор, как показано на рисунке ниже –

Файлы монитора1

При нажатии кнопки «Монитор» открывается список типов файлов и каталогов, которые можно использовать для мониторинга файлов. Далее мы выбираем файл, который хотим отслеживать.

Файлы монитора2

Далее мы выбираем значения по умолчанию, так как Splunk может анализировать файл и автоматически настраивать параметры мониторинга.

После последнего шага мы видим следующий результат, который фиксирует события из файла для мониторинга.

Файлы монитора3

Если какое-либо значение в событии изменяется, то приведенный выше результат обновляется, чтобы показать последний результат.