我们是否需要在主机(日志原始服务器)中安装通用转发器以进行脚本输入?

Do we need to install the Universal forwarder in the host(Log originating Server) for scripted inputs?

我需要使用脚本输入(Shell 脚本)将一些与数据库相关的日志转发到 splunk 索引器

我的问题是:

1)主机端是否需要安装通⽤转发器?

2) 除了在主机中安装 UF 之外,还有其他方法可以使用脚本输入将日志提取到索引器中吗?

3)为了完成这个,我需要遵循哪些步骤?

您可以使用 HTTP Event Collector,它允许您以 JSON 格式通过 HTTP 将数据发送到索引器。 有一些示例向您展示了如何通过 curl(以及通过脚本)进行操作:

curl -k https://<host>:8088/services/collector -H 'Authorization: Splunk <token>' -d '{"sourcetype": "mysourcetype", "event":"Hello, World!"}' 

你也可以关注the walkthrough

1) 要 运行 脚本输入,您需要通用转发器或重型转发器。您需要 HF 才能 运行 一个 Python 脚本。

2) 查看@Akah 的回答。

3) 见 http://docs.splunk.com/Documentation/Forwarder/7.2.1/Forwarder/Abouttheuniversalforwarder