我们能否避免 Splunk 从被覆盖的文件中索引行?
Can we avoid Splunk indexing lines from a file that gets overwritten?
我们有一个将日志行写入日志文件的进程。每隔 15 分钟,整个日志文件就会被覆盖一次。如果有新行,则添加这些行。保留旧行。
我们希望 Heavy Forwarder 仅向 Splunk 发送新行,即使整个文件已被覆盖。这可能吗?
您所描述的正是 [monitor:...] stanza of an inputs.conf works for the Universal Forwarder
我们有一个将日志行写入日志文件的进程。每隔 15 分钟,整个日志文件就会被覆盖一次。如果有新行,则添加这些行。保留旧行。
我们希望 Heavy Forwarder 仅向 Splunk 发送新行,即使整个文件已被覆盖。这可能吗?
您所描述的正是 [monitor:...] stanza of an inputs.conf works for the Universal Forwarder