如何从 Splunk Cloud 索引中排除消息?

tag-icon tag-icon splunk
如何从 Splunk Cloud 索引中排除消息?

我看到这个问题和答案在 Splunk 自己的问答网站上,可以从 Splunk 实例的索引中排除某些消息。

我有一个 Splunk Cloud 实例,其中配置此类内容的唯一方法是通过 GUI。我没有权限直接编辑配置文件。

这个答案(再次在 Splunk 的网站上)讨论了如何将条目转换props.conf为 GUI 的输入。但是,我完全过滤消息的具体情况并未涵盖。

我如何使用 Splunk GUI 执行此操作?

答案1

抱歉,我没有使用过云版本,但如果你在客户端而不是轻量级转发器上安装“完整 splunk”,你可以通过那里的道具将它们剥离出来,这样它们就不会被发送到索引器,显然你也不希望你的客户端进行索引,所以只需将其设置为转发所有内容而不索引任何内容。

相关内容