我已经在Windows上安装了Splunk(4.1.5(85165))并上传了一些没有任何问题的日志。
我现在想要监视一个linux服务器,但是我在添加数据源时遇到问题,总是得到这个消息:
Encountered the following error while trying to save: In handler 'monitor': Path must be absolute.
我正在使用Splunk Web,并将主机字段值设置为服务器上的两个服务器IP地址和完整path到/var/log (并尝试了各种其他组合)。
在Linux服务器上,我添加了*.*@192.168.254.100 .* *.*@192.168.254.100到syslog.conf。
我已阅读手册 ,但并没有真正的帮助。 我发现缺乏教程。 现在几乎想放弃Splunk的想法。 我显然在这里错过了一些基本的信息。 任何人都可以帮忙吗? 指向一些体面的教程的方向将是很好的…
我无法理解所有这些数据如何发送到Splunk以及Splunk如何截取/检索它。
Splunk的“监视器”只能读取正在运行的计算机上的文件(或者安装在networking上的驱动器上的文件,可以从正在运行的计算机上读取)。 “主机”字段可能会使其看起来像可以从另一台计算机上读取,但它可以识别文件来自哪个计算机,而不是连接到远程主机。 本页面提供了在networking上设置Splunk的各种想法。 它看起来像在每台机器上运行Splunk,并让它们将日志转发到中央索引器是“最佳实践”,因为它使您可以访问不受syslog控制的日志文件(例如apache日志),并且本地Splunk系统将持有数据如果主Splunk服务器出现故障。 否则,如果您打算使用syslog,则此页面提供了有关如何在Windows中设置syslog-ng以接收系统日志消息的说明,然后设置Splunk以从syslog-ng读取。