У меня есть распределенная среда Splunk 6, с которой я работаю над установкой нового Technology Add-on. На моем экспедиторе я пытаюсь добавить новый Data Input... Settings > Data inputs > Files & directories > New затем выберите мой файл и нажмите Далее ... на Set Sourcetype страница сообщение "Cannot preview on this Splunk instance"появляется".
У меня много других Data Input настроить таким же образом и даже другой файл из того же каталога, что и этот файл, который выдает сообщение. Каталог является локальным по отношению к Linux-серверу, на котором установлен fowarder, и я уже проверил права доступа к файлу.
Еще полностью промочил за ушами Splunk и воткнул устранение этой проблемы.
Ваша помощь очень ценится.
Спасибо.
Насколько я понимаю, ваш сервер пересылки работает под Linux, почему бы вам не добавить файлы поиска с помощью интерфейса командной строки?
splunk добавить монитор
Вы можете указать тип источника и индекс, посмотрите эту ссылку: http://docs.splunk.com/Documentation/Splunk/6.2.5/Data/Monitorfilesanddirectories usingtheCLI
Вы используете графический интерфейс на серверах пересылки? Используете универсальный экспедитор или тяжелый экспедитор?
Надеюсь, что это работает!!