Splunk - Arquivos de monitoramento

O Splunk Enterprise monitora e indexa o arquivo ou diretório conforme novos dados aparecem. Você também pode especificar um diretório montado ou compartilhado, incluindo sistemas de arquivos de rede, desde que o Splunk Enterprise possa ler do diretório. Se o diretório especificado contiver subdiretórios, o processo de monitoramento os examinará recursivamente em busca de novos arquivos, desde que os diretórios possam ser lidos.

Você pode incluir ou excluir arquivos ou diretórios da leitura usando listas brancas e listas negras.

Se você desabilitar ou excluir uma entrada do monitor, o Splunk Enterprise não para de indexar os arquivos: referências de entrada. Ele apenas para de verificar esses arquivos novamente.

Você especifica o caminho para um arquivo ou diretório e o processador do monitor consome todos os novos dados gravados nesse arquivo ou diretório. É assim que você pode monitorar logs de aplicativos ativos, como aqueles provenientes de logs de acesso à Web, aplicativos da plataforma Java 2 ou .NET e assim por diante.

Adicionar arquivos ao monitor

Usando a interface da web do Splunk, podemos adicionar arquivos ou diretórios a serem monitorados. Nós vamos paraSplunk Home → Add Data → Monitor como mostrado na imagem abaixo -

Ao clicar em Monitor, aparece a lista de tipos de arquivos e diretórios que você pode usar para monitorar os arquivos. Em seguida, escolhemos o arquivo que queremos monitorar.

Em seguida, escolhemos os valores padrão, já que o Splunk pode analisar o arquivo e configurar as opções de monitoramento automaticamente.

Após a etapa final, vemos o resultado abaixo que captura os eventos do arquivo a ser monitorado.

Se algum dos valores no evento for alterado, o resultado acima será atualizado para mostrar o resultado mais recente.