我有一个分布式 Splunk 6 环境,我正在使用它安装新的技术插件。在我的转发器上,我试图添加一个新的Data Input... Settings> Data inputs> Files & directories>New然后选择我的文件并单击“下一步... ”,Set Sourcetype页面上出现消息“ Cannot preview on this Splunk instance”。
我Data Input以相同的方式设置了许多其他文件,甚至还有来自与发出该消息的文件相同目录的另一个文件。该目录位于转发器所在的 Linux 机器的本地,并且我已经验证了该文件的权限。
我对 Splunk 还很陌生,无法解决此问题。
感谢您的帮助。
谢谢。
答案1
据我了解,您的转发器位于 Linux 下,为什么不使用 CLI 添加查找文件?
splunk 添加监视器
您可以指定sourcetype和index,看这个参考: http://docs.splunk.com/Documentation/Splunk/6.2.5/Data/MonitorfilesanddirectoriesusingtheCLI
您在转发器上使用 GUI 吗?使用通用转发器还是重型转发器?
希望它有效!!