Назад | Перейти на главную страницу

Дамп событий Splunk

У нас есть экземпляр nagios, настроенный так, чтобы использование МК-Livestatus и splunk, мы можем отправить все оповещения nagios через сокет livestatus благодаря вызову от splunk.

Однако теперь splunk получает данные, которые, когда кто-то использует приложение для поиска по его событиям, получает свою долю «ОК» состояний событий. Мы хотим иметь возможность удалять эти лишние события, чтобы они не возникали, когда кто-то просматривает журналы в Splunk. Наиболее очевидное решение в этом случае - настроить индекс поиска при использовании Splunk для просмотра журналов. Однако это неприемлемо для конечного пользователя, который не так хорошо осведомлен и не имеет времени и ресурсов для углубленного изучения splunk.

При этом нам нужен способ сбрасывать эти лишние журналы через фильтры определенного типа. Это может включать настройку nagios, livestatus и / или splunk или установку нового программного обеспечения для этого, но я не понимаю, что было бы наиболее эффективным или работало, насколько мне известно.

Очевидно, вы можете исключить вещи из поиска, но вы не хотите этого делать, но вы не можете удалять записи после того, как данные были проиндексированы - но вы можете использовать реквизиты для исключения записей из пересылки индексаторам, думая, что для этого требуется посредник forwarder, если вы «клиентские» данные не отправляются из splunk-пересылки какого-либо типа (т.е. он просто отправляет системный журнал или подобное).