我们设置了一个 nagios 实例,以便使用MK-实时状态和斯普朗克,借助 splunk 的调用,我们能够通过 livestatus 的套接字推送所有 nagios 的警报。
但是,当有人使用该应用程序搜索其事件时,splunk 现在正在接收数据,这些数据中大部分事件处于“正常”状态。我们希望能够删除这些多余的事件,这样当有人在 Splunk 中搜索日志时,它们就不会出现。在这种情况下,最明显的解决方案是调整使用 Splunk 挖掘日志时的搜索索引。然而,对于知识不够丰富并且没有时间和资源深入学习 Splunk 的最终用户来说,这是不可接受的。
话虽如此,我们需要一种方法来通过某种类型的过滤器转储这些多余的日志。这可能包括配置 nagios、livestatus 和/或 splunk 或安装新软件来执行此操作,但我不知道什么是最有效的或据我所知最有效的。
答案1
显然,您可以从搜索中排除某些内容,但是您不想这样做,但一旦数据被索引,您就无法删除条目 - 但您可以使用 props 来排除转发到索引器的条目,认为如果您的“客户端”数据不是从某种类型的 splunk 转发器发送的(即它只是发送 syslog 或类似内容),则需要中介转发器。