リモートUNIXサーバからのデータソースとしてログを設定する方法

Question

リモートUNIXサーバに存在するログファイルでsplunkを設定する方法。

通常、私はLinuxサーバーにログインします。そこから別の会社のサーバーに接続します。 そこには、ディレクトリをナビゲートし、grepフィルターを使用してcat、zcatなどの操作を行います。 例：

• 1）パテ
• 2からexample_serverするログイン）
• 4 DIRをREQする
• 3）CDをssh_serverするSSH）など猫を実行し、

BTW ssh_serverはパテントから直接ログインすることを許可しません。最初にexample_serverにログインしてからssh_serverにログインする必要があります。

ここで、grepを使用するためにsplunkが文字列を検索するためにこれらのログファイルをどのように設定すればよいですか？ 私のラップトップにsplunkをインストールしました。データを追加>ファイルとディレクトリ>を新規に追加します。 データフィールドのフルパスが表示されます。

Answer 1

ラップトップのSplunkインスタンスは、参照できるファイルとディレクトリのみをインデックスできます。データはネットワーク共有やローカルボリューム上にある可能性があります。しかし、ラップトップからファイルやディレクトリにアクセスできない場合、Splunkはラップトップからインデックスを作成できません。

ただし、ラップトップSplunkを受信者として設定する場合は、LinuxシステムにSplunk Universal Forwarderをインストールし、ラップトップにデータを転送することができます。

しかし、ラップトップが転送されたデータを受信するためにネットワークに常駐しているとは限らない場合は、これが最適な解決策ではない可能性があります。代わりに、あなたのラップトップにファイルをいくつかのローカルディレクトリにftpするだけで、アップロードオプションを使用してファイルをSplunkにアドホックで追加することができます。 （ファイルをSplunkにアップロードした後、ローカルコピーを削除することができます）