Splunk – monitorear archivos
AREAtutorial » Big Data & Analitycs » Splunk – monitorear archivos
Splunk Enterprise supervisa e indexa un archivo o directorio a medida que hay nuevos datos disponibles. También puede especificar un directorio montado o compartido que incluya sistemas de archivos de red si Splunk Enterprise puede leer desde el directorio. Si el directorio especificado contiene subdirectorios, el proceso de supervisión los comprueba de forma recursiva en busca de nuevos archivos mientras se pueden leer los directorios.
Puede incluir o excluir archivos o directorios de la lectura utilizando listas blancas y listas negras.
Si deshabilita o elimina la entrada del monitor, Splunk Enterprise no dejará de indexar archivos: enlaces de entrada. Simplemente deja de revisar estos archivos nuevamente.
Usted especifica una ruta a un archivo o directorio, y el procesador del monitor consume cualquier dato nuevo escrito en ese archivo o directorio. De esta manera, puede monitorear registros de aplicaciones en tiempo real, como registros de acceso web, aplicaciones de plataforma Java 2 o .NET, etc.
Usando la interfaz web de Splunk, podemos agregar archivos o directorios que necesitan ser monitoreados. Vamos a Inicio de Splunk → Agregar datos → Supervisar como se muestra en la imagen de abajo –
Al hacer clic en «Monitor», se abre una lista de tipos de archivos y directorios que se pueden usar para rastrear archivos. Luego seleccionamos el archivo que queremos rastrear.
Luego elegimos los valores predeterminados ya que Splunk puede analizar el archivo y ajustar automáticamente los parámetros de monitoreo.
Después del último paso, vemos el resultado a continuación, que captura los eventos del archivo que se rastreará.
Si algún valor en el evento cambia, el resultado anterior se actualiza para mostrar el último resultado.
🚫