Splunk 简明教程
Splunk - Monitor Files
Splunk Enterprise 会监视和索引文件或目录,因为会出现新数据。你还可以指定已装入或共享的目录,包括网络文件系统,只要 Splunk Enterprise 能够从目录中读取即可。如果指定目录包含子目录,那么监控进程将递归检查它们是否存在新文件,只要这些目录可读即可。
你可以使用白名单和黑名单包括或排除读取文件或目录。
如果你禁用或删除监视输入,Splunk Enterprise 不会停止索引文件:输入引用。它只会停止再次检查这些文件。
您可以指定文件或目录路径,而监视器处理程序则会使用写入该文件或目录的所有新数据。您可以通过这种方式监视实时应用程序日志,例如来自 Web 访问日志、Java 2 平台或 .NET 应用程序的日志等等。