我有一个分布式的Splunk 6环境,通过安装一个新的技术插件,我正在使用这个环境。 在我的转发器上,我尝试添加新的Data Input … Settings > Data inputs > Files & directories > New然后select我的文件,然后单击下一步…在Set Sourcetype页面上消息“ Cannot preview on this Splunk instance ”出现。
我有很多其他的Data Input设置相同的方式,甚至是另一个文件从同一个目录下,这个文件正在扔信息。 这个目录是本地的,并且我已经validation了文件的权限。
Splunk的耳朵仍然完全湿透,卡住了解决这个问题。
感谢您的帮助。
谢谢。
据我所知,您的转发器在Linux下,为什么不使用CLI添加查找文件?
splunk添加监视器
你可以指定源types和索引,看看这个引用: http ://docs.splunk.com/Documentation/Splunk/6.2.5/Data/MonitorfilesanddirectoriesusingtheCLI
你在转发器上使用GUI吗? 使用通用转发器还是重型转发器?
希望它的作品!