我已经安装了 Splunk(Windows 上为 4.1.5(85165))并且上传了一些日志,没有任何问题。
我现在想监控一个 Linux 服务器,但是在添加数据源时遇到了问题并且总是收到以下消息:
Encountered the following error while trying to save: In handler 'monitor': Path must be absolute.
我正在使用 Splunk Web,并将主机字段值设置为两个服务器的 IP 地址和服务器上的完整路径/var/log
(并尝试了各种其他组合)。
在 Linux 服务器上我已添加*.*@192.168.254.100
到 syslog.conf。
我有阅读手册,但这并没有真正起到帮助作用。而且我发现缺少教程。现在我几乎想放弃 Splunk 的想法了。我显然缺少一些基本信息。有人可以帮忙吗?如果能提供一些不错的教程就好了……
我无法理解所有这些数据如何发送到 Splunk 以及 Splunk 如何拦截/检索这些数据。
答案1
Splunk 的“监视器”只能读取运行它的机器上的文件(或通过网络安装的可从运行它的机器读取的驱动器上的文件)。“主机”字段可能让它看起来像可以从另一台机器读取,但它的存在是为了识别文件来自哪台计算机,而不是连接到远程主机。这一页对于在网络上设置 Splunk 有各种想法。看起来在每台机器上运行 Splunk 并让它们将日志转发到中央索引器是“最佳实践”,因为它允许您访问不受 syslog 控制的日志文件(例如 apache 日志),并且如果主 Splunk 服务器发生故障,本地 Splunk 系统将保存数据。否则,如果您要使用 syslog,这一页提供了一些关于如何在 Windows 中设置 syslog-ng 以接收 syslog 消息的说明,然后设置 Splunk 从 syslog-ng 读取。