Splunk - 监控文件


当新数据出现时,Splunk Enterprise 监视文件或目录并为其编制索引。您还可以指定安装或共享目录,包括网络文件系统,只要 Splunk Enterprise 可以从该目录读取即可。如果指定的目录包含子目录,只要可以读取这些目录,监视进程就会递归地检查它们是否有新文件。

您可以使用白名单和黑名单来包含或排除文件或目录的读取。

如果您禁用或删除监视器输入,Splunk Enterprise 不会停止对文件建立索引:输入引用。它只会停止再次检查这些文件。

您指定文件或目录的路径,监视器处理器将使用写入该文件或目录的任何新数据。您可以通过这种方式监视实时应用程序日志,例如来自 Web 访问日志、Java 2 平台或 .NET 应用程序等的日志。

添加文件到监视器

使用Splunk Web界面,我们可以添加要监控的文件或目录。我们进入Splunk Home → 添加数据 → 监控,如下图所示 -

监控文件1

单击“监视”后,它会显示可用于监视文件的文件类型和目录列表。接下来,我们选择要监视的文件。

监控文件2

接下来,我们选择默认值,因为 Splunk 能够解析文件并自动配置监控选项。

最后一步之后,我们看到下面的结果,它捕获了要监视的文件中的事件。

监控文件3

如果事件中的任何值发生变化,则上述结果将更新以显示最新结果。