如果我安装splunk转发器,我可以将远程数据放入我的splunk安装中,然后索引我的日志,并search很好。 但是我有许多路由器设备和运行syslog的其他设备,并且可以将它们的日志导出到某个地方。
如何将Splunkconfiguration为接收这些日志,或者是否有其他解决方法可供使用?
网上有很多关于如何设置Splunk接受系统日志连接的文章。 这是我用一个简单的Googlesearchfind的。
您基本上只需进入Splunk的pipe理控制台,并告诉它接受来自Y机器的X端口上的连接。 这基本上告诉Splunk接受这些连接。 现在,您只需转到每个设备,并将该系统的syslog指向正确端口上的Splunk IP。
仅供参考 – 我使用的Googlesearch是: configurationsplunk来接受系统日志
在Splunk索引器的inputconfiguration中,您需要在端口514上configuration一个UDP侦听器,并将types设置为syslog (这样可以计算出一些默认的syslog字段),并将主机设置为stream量来源(它允许它适当地设置日志项目的主机字段)。
完成此操作后,任何标准的系统日志设备都可以将数据发送到Splunk索引器,Splunk会很高兴地接受它。
我想是一个两步的过程。 我将创build一个中央syslog / syslog-ng服务器,可以通过syslog合并所有路由器和其他设备日志。 然后,在该中央syslog / syslog-ng服务器上,运行splunk转发器,将其configuration为尾部相应的系统日志文件或您configuration的文件,然后将该数据转发到中央splunk服务器进行索引。
另一种方法是使syslog / syslog-ng服务器与中央服务器相同。 这将消除一个转发步骤。
祝你好运!