Я вижу из этот вопрос и ответ на собственном сайте вопросов и ответов Splunk, что можно исключить определенные сообщения из индексации на экземпляре Splunk.
У меня есть экземпляр Splunk Cloud, где единственный способ настроить такие вещи - через графический интерфейс. У меня нет доступа для непосредственного редактирования файлов конфигурации.
Этот ответ (снова на сайте Splunk) обсуждает, как переводить записи в props.conf во входы в графический интерфейс. Однако мой частный случай фильтрации сообщений полностью не рассматривается.
Как я могу сделать это с помощью графического интерфейса Splunk?
Я не использовал облачную версию, извините, но если вы установите `` полный splunk '' на своих клиентах, а не на Light-Forwarder, вы можете удалить их через props там, чтобы они вообще не отправлялись в индексатор, очевидно, вы не хотите, чтобы ваши клиенты тоже индексировались, поэтому просто настройте его на пересылку всего и ничего не индексировать.