#yyds干货盘点#Splunk之远程数据收集

#yyds干货盘点#Splunk之远程数据收集

监视文件和目录

一、Web方式：

数据的存储和分类

1.数据存放位置--->存放在index索引（相当于数据库）中

2.数据类型sourcetype：不同的数据类型进行分类--->tomcat，audit

例：查看索引

上传

上传本地文件：

例：主页--->上传数据--->上传文件（windowsupdate）--->数据来源

高级里可以设置字符集：默认是UTF-8

中文的是HZ

例：重新建立一个中文文件上传

来源类型--->可以通过另存为设置

输入设置--->设置主机名和需要要存储的索引

检查：

确认无误--->提交

注：为事件设置时间戳

​ ​​      ​时间戳非常重要，如果时间没有时间戳，就用当前时间为时间时间戳

如果时间戳不能识别，需要手动配置

二、web方式监听：

主页--->添加数据--->监视数据--->文件或目录

监视的是当前系统的文件

例：监视文件的路径：/home/software/splunk/var/log/splunk/audit.log

设置文件类型：

输入设置：设置主机，设置索引

注：可以通过路径中的段来设置监听的主机路径

检查：

检查无误--->提交

开始搜索：

查看状态总数：index="linuxid"| stats count

可以在可视化里调整样式：

连续监视：

监视文件路径：/home/software/hehe/test.txt

编辑文件：在文件的目录下，用echo编写

例：echo hello world>test.txt

监视目录：略

二、CLI命令方式：

命令： splunk add monitor/home/software/hs.log

在该目录下监听一个文件hs.log，在web端查看

dui

查看索引：默认在main里

设置索引

新建索引：splunk add index hs

设置文件监听：splunk add monitor /home/software/hs.log -index hs

监视目录：

创建目录：mkdir hs

创建指定索引：splunk add index hsyd

创建目录监听：splunk add monitor /home/software/hs -index hsyd

查看：

-->查看配置文件,命令创建的监听都在配置文件中

默认都是创建连续监听

创建一次监听：

创建新索引：splunk add index test1

创建一次监听：splunk add oneshot/home/software/haha.log -index test1

查看：

cli命令指定host：splunk addoneshot /home/software/haha.log -index test1 -host shu

cli命令设置路径中的段：splunk add oneshot /home/software/haha.log -index test1-host_segment 2

三、使用配置文件方式(需要重启splunk)

配置文件：

配置文件有很多版本

/home/software/etc/system/default

/home/software/etc/system/local

/home/software/etc/apps/search/default

/home/software/etc/apps/search/local

配置文件时，一般都用local，因为default是默认文件，更新的时候会自动覆盖

local文件夹里的配置文件：

Indexs.conf：记录新建index的信息

Input.conf：需要监视的文件目录

由节组成，每一段都分为一个节

案例：进入配置文件 配置监视文件

路径：/home/software/etc/apps/search/local

文件：input.conf

编辑：

然后进入文件所在路径，编辑test2文件

搜索查看，找不到

因为需要重启splunk

重启：splunk restart

batch索引：索引后删除源文件

配置文件：

[batch:///home/software/hehehe/yum.log]

move_policy =sinkhole

disabled = false

host = shu

index = yumid

通配符：

…​  ​省略号通配符，目录和任意级别的递归子目录

*  星号通配符，不支持递归

例子：

/apache/foo/logs.txt

/apache/bar/logs.txt

/spsche/bar/foo/logs.txt

[monitor:///apache/…/yum.log]

disabled = false

host = shu

index = yumid

/apache/*.log

[monitor:///apache/*.log]

/foo/…/bar.log

/foo/1/bar.log,/foo/2/bar.log,foo/1/2/bar.log, 匹配

/foo/bar.log,/foo/1/notbar.log,不匹配

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。