我已经按照本指南在我的机器上本地设置了通用转发器
https://splunk.paloaltonetworks.com/universal-forwarder.html
/opt/splunkforwarder/etc/system/local/inputs.conf
[monitor:///var/log/udp514.log]
sourcetype = pan:log
disabled =0
/opt/splunkforwarder/etc/system/local/outputs.conf
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = xxx-xps-15-7590:9997
disabled=false
[tcpout-server://xxx-xps-15-7590:9997]
(本地 IP 变为‘xxx-xps-15-7590’,与 Web UI 相同)
我已检查 syslog 确实将日志事件发送到文件 /var/log/udp514.log,因此我确信日志在那里。splunk UI 上已允许使用端口 9997(转发和接收设置)。
但是当我进行搜索时:source="/var/log/udp514.log" 什么都没有显示。
splunk 还会抛出一条消息:
“TCP 输出处理器已暂停数据流。从 host_src=xxx-XPS-15-7590 转发到输出组 default-autolb-group 内的 host_dest=xxx-xps-15-7590 已被阻止,持续时间为 banned_seconds=10。这可能会使数据流向索引和其他网络输出停滞。在 Splunk 监控控制台中检查接收系统的运行状况。它可能不接受数据。”
我知道数据已经从 host_src 转发,但由于某种原因,索引器没有接收它们,所以被阻止了?
知道问题出在哪里吗?
答案1
但是当我进行搜索时:source="/var/log/udp514.log" 什么都没有显示。
此查询未指定索引,因此将使用您的默认索引列表。如果您的角色没有默认索引,则查询将不返回任何内容。请尝试指定主索引。
index=main source="/var/log/udp514.log"
如果您仍然一无所获,增加搜索时间窗口可能会有所帮助。
index=main source="/var/log/udp514.log" earliest=-30d latest=+30d
更新 input.conf 节以指定索引名称(最佳实践)后,更新查询以使用相同的索引。