Как я могу настроить журналы как источник данных с удаленного сервера Unix в splunk?
Нет такой опции для ext3 или ext4, насколько я знаю. Возможно, если бы Вы описали фактическую природу своей проблемы, то кто-то мог бы предложить другое решение.
Предполагая, что у вас уже есть установленный где-то экземпляр Splunk, существует несколько способов пересылки данных журнала в центральное расположение.
В первую очередь самый простой способ - отправить сообщения системного журнала на удаленный сервер журналов. Это применимо только в том случае, если у вас есть необходимые права и разрешения для этого и есть возможность получить желаемые журналы для записи в системный журнал.
Если у вас есть права на установку, вы можете настроить экземпляр сервера пересылки Splunk на своем удаленном компьютере. Это поддерживается в Linux, Unix и Windows, возможно, больше.
Существуют также дополнительные инструменты, которые вы можете использовать для пересылки журналов, включая Эпилог и пересылку системных журналов.
Не удается установить что-либо на сервере I ' Вы можете настроить сценарии, которые эффективно отслеживают выходной файл и выгружают результаты в TCP или UDP-соединение, открытое для сервера Splunk.
РЕДАКТИРОВАТЬ - поскольку вы ответили, что у вас нет прав на установку в этот ящик, вы можете посмотреть, скопировав свои файлы через SSH и добавив папку назначения для копии в ваш индекс Splunk. Запланируйте выполнение этого задания через cron. Это не идеально - это допускает некоторую фальсификацию перед отправкой ваших журналов, но это функционально.
РЕДАКТИРОВАТЬ - В вашем случае я бы рекомендовал использовать команду nc, если она у вас есть. Это отличный способ избежать мониторинга журналов без установки.
tail /your/log/file -f | nc <your.server.ip.addr> <yourport>
В системах Linux и большинстве решений для управления журналами вам просто нужно изменить конфигурацию syslog или rsyslog на сервере Linux, чтобы отправить все данные на сервер регистрации. . @XXXX sudo / sbin / service syslog restart
При такой конфигурации все журналы будут отправляться через порт 514 на настроенный вами сервер ведения журналов Splunk. Вам просто нужно убедиться, что вы настроили Splunk, чтобы разрешить входящий трафик. В большинстве случаев это делается путем настройки различных хостов, которые позволяют X IP отправлять трафик на машину.
Другие реализации журналирования, такие как OSSEC, позволяют вам установить агент на машину, чтобы вам не приходилось изменять системный журнал .