Я установил Splunk (4.1.5 (85165) в Windows) и без проблем загрузил несколько логов.
Теперь я хочу отслеживать сервер Linux, но у меня возникают проблемы с добавлением источника данных, и я всегда получаю сообщение:
Encountered the following error while trying to save: In handler 'monitor': Path must be absolute.
Я использую Splunk Web и установил значение поля хоста на IP-адрес двух серверов и полный путь на сервере к /var/log (и пробовал различные другие комбинации).
На сервере Linux я добавил *.*@192.168.254.100 в syslog.conf.
Я прочтите руководство, но это не совсем помогает. и я нахожу нехватку руководств. В значительной степени думаю об отказе от идеи Splunk. Очевидно, здесь мне не хватает какой-то базовой информации. Кто-нибудь может помочь? Было бы неплохо указать направление на какие-нибудь приличные уроки ...
У меня проблемы с пониманием того, как все эти данные отправляются в Splunk и как Splunk их перехватывает / извлекает.
«Монитор» Splunk может читать только файлы, которые находятся на машине, на которой он запущен (или на дисках, подключенных по сети, которые могут быть прочитаны с машины, на которой он работает). Поле «хост» может выглядеть так, как будто оно может читать с другой машины, но оно предназначено для определения, с какого компьютера был получен файл, а не для подключения к удаленному хосту. Эта страница есть разные идеи по настройке Splunk в сети. Похоже, что запуск Splunk на каждой машине и их пересылка журналов в центральный индексатор - это «лучшая практика», поскольку это дает вам доступ к файлам журналов, не контролируемым syslog (например, журналам apache), а локальные системы Splunk будут содержать данные, если основной сервер Splunk выходит из строя. В противном случае, если вы собираетесь использовать системный журнал, эта страница предоставляет некоторые инструкции о том, как настроить syslog-ng в Windows для получения сообщений syslog, а затем настроить Splunk для чтения из syslog-ng.