Splunk 正在监控自己的日志
Splunk is Monitoring Its own Logs
我们正在尝试使用 Splunk 通用转发器监控服务器上的日志文件。日志目录(比如 /logs/app3/Oct2015)由 Splunk 转发器监控。
Splunk 文档告诉我们可以使用黑名单来停止监视任何不需要的目录。因此,我的 input.conf 在这里:(Splunk Documentation)
/opt/splunkforwarder/etc/system/local/inputs.conf :
[monitor:///logs/app3/Oct2015/]
sourcetype = access_common
ignoreOlderThan = 7d
recurse = true
_TCP_ROUTING = toLogAggregator
blacklist = /opt/splunkforwarder/...
[blacklist:/opt/splunkforwarder/...]
这是我的输出配置-
/opt/splunkforwarder/etc/system/local/outputs.conf :
(Splunk Documentation on Output)
[tcpout]
defaultGroup = toBeIgnored
# This target group will redirect events to Log aggregator listening on TCP socket.
[tcpout:toLogAggregator]
server = 10.20.176.207:9997
sendCookedData = false
[tcpout:toBeIgnored]
当我 运行 Splunk Universal Forwarder (v6.3) 时,我能够成功地监控我的日志目录,但 Splunk 也会向我发送它自己的日志。我添加了一个黑名单节来阻止 Splunk 监控并向我发送它自己的日志,但没有成功。我的聚合器服务器持续接收与我正在监控的日志混合的 Splunk 日志。
我默认添加了一个 TCP 输出组来排出事件,并明确标记我的监控目录以使用不同的 TCP 组路由日志,但这也没有用。仍然受到 Splunk 日志的轰炸。
有谁知道,如何让 Splunk Forwarder 不监控自己而只监控我请求的目录?
问候,
-维普尔;
默认情况下,/opt/splunkforwarder/etc/apps/ 中有一个名为 SplunkUniversalForwarder 的插件。在插件目录中,有一个包含 inputs.conf 文件的默认目录。此文件包含 $SPLUNK_HOME/var/log 文件夹的监控语句。
我禁用了它们和 Bingo,Splunk 在发送我要求 Splunk 转发的内容时停止用 Splunk 日志淹没目标。
所有细节都在这里:
https://answers.splunk.com/answers/320050/how-to-tell-a-splunk-universal-forwarder-to-not-to.html
我们正在尝试使用 Splunk 通用转发器监控服务器上的日志文件。日志目录(比如 /logs/app3/Oct2015)由 Splunk 转发器监控。
Splunk 文档告诉我们可以使用黑名单来停止监视任何不需要的目录。因此,我的 input.conf 在这里:(Splunk Documentation)
/opt/splunkforwarder/etc/system/local/inputs.conf :
[monitor:///logs/app3/Oct2015/]
sourcetype = access_common
ignoreOlderThan = 7d
recurse = true
_TCP_ROUTING = toLogAggregator
blacklist = /opt/splunkforwarder/...
[blacklist:/opt/splunkforwarder/...]
这是我的输出配置-
/opt/splunkforwarder/etc/system/local/outputs.conf : (Splunk Documentation on Output)
[tcpout]
defaultGroup = toBeIgnored
# This target group will redirect events to Log aggregator listening on TCP socket.
[tcpout:toLogAggregator]
server = 10.20.176.207:9997
sendCookedData = false
[tcpout:toBeIgnored]
当我 运行 Splunk Universal Forwarder (v6.3) 时,我能够成功地监控我的日志目录,但 Splunk 也会向我发送它自己的日志。我添加了一个黑名单节来阻止 Splunk 监控并向我发送它自己的日志,但没有成功。我的聚合器服务器持续接收与我正在监控的日志混合的 Splunk 日志。
我默认添加了一个 TCP 输出组来排出事件,并明确标记我的监控目录以使用不同的 TCP 组路由日志,但这也没有用。仍然受到 Splunk 日志的轰炸。
有谁知道,如何让 Splunk Forwarder 不监控自己而只监控我请求的目录?
问候,
-维普尔;
默认情况下,/opt/splunkforwarder/etc/apps/ 中有一个名为 SplunkUniversalForwarder 的插件。在插件目录中,有一个包含 inputs.conf 文件的默认目录。此文件包含 $SPLUNK_HOME/var/log 文件夹的监控语句。
我禁用了它们和 Bingo,Splunk 在发送我要求 Splunk 转发的内容时停止用 Splunk 日志淹没目标。
所有细节都在这里: https://answers.splunk.com/answers/320050/how-to-tell-a-splunk-universal-forwarder-to-not-to.html