Мы управляем приложением, которое иногда дает сбой и сбрасывает ядро. У нас есть сценарий, который выводит стек приложения из ядра - и некоторые другие детали, полезные для отладки.
Можно ли настроить Splunk для вызова сценария при обнаружении нового дампа памяти в каталоге и сохранения вывода сценария на централизованном сервере?
Я знаю, мы можем сделать это сами - вызвать скрипт, сохранить его вывод в журнале и заставить Splunk отслеживать этот журнал. Но в нашей ситуации было бы удобнее (по нетехническим причинам), если бы Splunk сам следил за просмотром ...
Splunk может это сделать. То, что вы ищете, - это ввод по сценарию.
У Splunk есть документация по этому поводу на http://docs.splunk.com/Documentation/Splunk/7.0.2/AdvancedDev/ScriptedInputsIntro
Вместо того, чтобы следить за дампом ядра, я бы подумал, что было бы более эффективно периодически запускать скриптовый ввод, обрабатывать любые дампы ядра, а затем перемещать их в другой каталог (или удалять их), чтобы те же самые дампы ядра не отображались. t повторно обрабатывается.