Splunk - Monitorear archivos

Splunk Enterprise supervisa e indexa el archivo o directorio a medida que aparecen nuevos datos. También puede especificar un directorio montado o compartido, incluidos los sistemas de archivos de red, siempre que Splunk Enterprise pueda leer desde el directorio. Si el directorio especificado contiene subdirectorios, el proceso de supervisión los examina de forma recursiva en busca de nuevos archivos, siempre que se puedan leer.

Puede incluir o excluir archivos o directorios para que no se lean mediante el uso de listas blancas y listas negras.

Si deshabilita o elimina una entrada de monitor, Splunk Enterprise no deja de indexar los archivos: referencias de entrada. Solo deja de revisar esos archivos nuevamente.

Usted especifica la ruta a un archivo o directorio y el procesador del monitor consume cualquier dato nuevo escrito en ese archivo o directorio. Así es como puede monitorear los registros de aplicaciones en vivo, como los que provienen de los registros de acceso web, la plataforma Java 2 o las aplicaciones .NET, etc.

Agregar archivos al monitor

Usando la interfaz web de Splunk, podemos agregar archivos o directorios para ser monitoreados. Vamos aSplunk Home → Add Data → Monitor como se muestra en la imagen de abajo -

Al hacer clic en Supervisar, aparece la lista de tipos de archivos y directorios que puede utilizar para supervisar los archivos. A continuación, elegimos el archivo que queremos monitorear.

A continuación, elegimos los valores predeterminados ya que Splunk es capaz de analizar el archivo y configurar las opciones para monitorear automáticamente.

Después del paso final, vemos el resultado a continuación que captura los eventos del archivo que se monitoreará.

Si cambia alguno de los valores del evento, el resultado anterior se actualiza para mostrar el último resultado.