splunk syslogs 转发器设置不起作用并且暂停数据流

splunk syslogs 转发器设置不起作用并且暂停数据流

我已经按照本指南在我的机器上本地设置了通用转发器

https://splunk.paloaltonetworks.com/universal-forwarder.html

/opt/splunkforwarder/etc/system/local/inputs.conf

[monitor:///var/log/udp514.log]
sourcetype = pan:log
disabled =0

/opt/splunkforwarder/etc/system/local/outputs.conf

[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = xxx-xps-15-7590:9997
disabled=false
[tcpout-server://xxx-xps-15-7590:9997]

(本地 IP 变为‘xxx-xps-15-7590’,与 Web UI 相同)

我已检查 syslog 确实将日志事件发送到文件 /var/log/udp514.log,因此我确信日志在那里。splunk UI 上已允许使用端口 9997(转发和接收设置)。

但是当我进行搜索时:source="/var/log/udp514.log" 什么都没有显示。

splunk 还会抛出一条消息:

“TCP 输出处理器已暂停数据流。从 host_src=xxx-XPS-15-7590 转发到输出组 default-autolb-group 内的 host_dest=xxx-xps-15-7590 已被阻止,持续时间为 banned_seconds=10。这可能会使数据流向索引和其他网络输出停滞。在 Splunk 监控控制台中检查接收系统的运行状况。它可能不接受数据。”

我知道数据已经从 host_src 转发,但由于某种原因,索引器没有接收它们,所以被阻止了?

知道问题出在哪里吗?

答案1

但是当我进行搜索时:source="/var/log/udp514.log" 什么都没有显示。

此查询未指定索引,因此将使用您的默认索引列表。如果您的角色没有默认索引,则查询将不返回任何内容。请尝试指定主索引。

index=main source="/var/log/udp514.log"

如果您仍然一无所获,增加搜索时间窗口可能会有所帮助。

index=main source="/var/log/udp514.log" earliest=-30d latest=+30d

更新 input.conf 节以指定索引名称(最佳实践)后,更新查询以使用相同的索引。

相关内容