Дамп событий Splunk
У нас есть экземпляр nagios, настроенный так, что, используя MK-Livestatus и splunk , мы можем протолкнуть все оповещения nagios через livestatus socket благодаря звонку из splunk.
Однако splunk теперь получает данные, которые, когда кто-то использует приложение для поиска по его событиям, получает свою долю «ОК» состояний событий. Мы хотим иметь возможность удалять эти лишние события, чтобы они не возникали, когда кто-то просматривает журналы в Splunk. Наиболее очевидное решение в этом случае - настроить индекс поиска при использовании Splunk для просмотра журналов. Однако это неприемлемо для конечного пользователя, который не так хорошо осведомлен и не имеет времени и ресурсов для углубленного изучения splunk.
При этом нам нужен способ сбросить эти лишние журналы через какой-нибудь фильтр. Это может включать в себя настройку nagios, livestatus и / или splunk или установку нового программного обеспечения для этого, но я не понимаю, что было бы наиболее эффективным или работало, насколько мне известно.
Очевидно, что вы можете исключать объекты из поиска, но вы не хотите этого делать, но вы не можете удалять записи после того, как данные были проиндексированы, но вы можете использовать реквизиты для исключения записей из перенаправляются индексаторам, считая, что для этого требуется промежуточный сервер пересылки, если ваши «клиентские» данные не отправляются от модуля пересылки splunk какого-либо типа (т.е. он просто отправляет системный журнал или что-то подобное).