- Splunk 教程
- Splunk - 主页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 源类型
- Splunk - 基本搜索
- Splunk - 现场搜索
- Splunk - 时间范围搜索
- Splunk - 共享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 转换命令
- Splunk - 报告
- Splunk - 仪表板
- Splunk - 数据透视表和数据集
- Splunk - 查找
- Splunk - 时间表和警报
- Splunk - 知识管理
- Splunk - 子搜索
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 迷你图
- Splunk - 管理索引
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用程序
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 监控文件
- Splunk - 排序命令
- Splunk - 顶级命令
- Splunk - 统计命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用的资源
- Splunk - 讨论
Splunk - 监控文件
当新数据出现时,Splunk Enterprise 监视文件或目录并为其编制索引。您还可以指定安装或共享目录,包括网络文件系统,只要 Splunk Enterprise 可以从该目录读取即可。如果指定的目录包含子目录,只要可以读取这些目录,监视进程就会递归地检查它们是否有新文件。
您可以使用白名单和黑名单来包含或排除文件或目录的读取。
如果您禁用或删除监视器输入,Splunk Enterprise 不会停止对文件建立索引:输入引用。它只会停止再次检查这些文件。
您指定文件或目录的路径,监视器处理器将使用写入该文件或目录的任何新数据。您可以通过这种方式监视实时应用程序日志,例如来自 Web 访问日志、Java 2 平台或 .NET 应用程序等的日志。
添加文件到监视器
使用Splunk Web界面,我们可以添加要监控的文件或目录。我们进入Splunk Home → 添加数据 → 监控,如下图所示 -
单击“监视”后,它会显示可用于监视文件的文件类型和目录列表。接下来,我们选择要监视的文件。
接下来,我们选择默认值,因为 Splunk 能够解析文件并自动配置监控选项。
最后一步之后,我们看到下面的结果,它捕获了要监视的文件中的事件。
如果事件中的任何值发生变化,则上述结果将更新以显示最新结果。