我们有大量 Linux 机器,它们都连接到 Active Directory (AD)。AD 日志被提取到 Splunk 中。
有没有办法从 AD 日志(更像是 Windows 的进程命令行日志)中获取 Splunk 中所有 Linux 机器的命令历史记录,而无需在每个机器上安装 Splunk 转发器?
答案1
一种解决方案是将系统日志记录到中央系统日志服务器,并在那里运行单个 Splunk Forwarder。然后,您可以批量采集日志,或者只采集所需系统的日志。这也使以后的增长更容易一些,因为您可以将任何其他进程直接记录到同一台服务器上。