Splunk 简明教程

Splunk - Monitor Files

Splunk Enterprise 会监视和索引文件或目录,因为会出现新数据。你还可以指定已装入或共享的目录,包括网络文件系统,只要 Splunk Enterprise 能够从目录中读取即可。如果指定目录包含子目录,那么监控进程将递归检查它们是否存在新文件,只要这些目录可读即可。

你可以使用白名单和黑名单包括或排除读取文件或目录。

如果你禁用或删除监视输入,Splunk Enterprise 不会停止索引文件:输入引用。它只会停止再次检查这些文件。

您可以指定文件或目录路径,而监视器处理程序则会使用写入该文件或目录的所有新数据。您可以通过这种方式监视实时应用程序日志,例如来自 Web 访问日志、Java 2 平台或 .NET 应用程序的日志等等。

Add files to Monitor

使用 Splunk Web 界面,我们可以添加要监视的文件或目录。我们转到如下面的图像中所示的 Splunk Home → Add Data → Monitor

monitor files 1

单击“监视”时,它会列出您可以用来监视文件的各种文件类型和目录类型。接下来,我们选择我们想监视的文件。

monitor files 2

接下来,我们选择默认值,因为 Splunk 能够解析该文件并自动配置用于监视的选项。

完成最后一步后,我们看到了下方的结果,它捕获了要监视的文件中的事件。

monitor files 3

如果事件中的任何值发生变化,则上述结果将更新为以显示最新的结果。