La configuración del reenviador de Splunk Syslogs no funciona y el flujo de datos está en pausa

tag-icon tag-icon linux port port-forwarding syslog splunk
La configuración del reenviador de Splunk Syslogs no funciona y el flujo de datos está en pausa

He configurado el Universal Forwarder localmente en mi máquina usando esta guía

https://splunk.paloaltonetworks.com/universal-forwarder.html

/opt/splunkforwarder/etc/system/local/inputs.conf

[monitor:///var/log/udp514.log]
sourcetype = pan:log
disabled =0

/opt/splunkforwarder/etc/system/local/outputs.conf

[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = xxx-xps-15-7590:9997
disabled=false
[tcpout-server://xxx-xps-15-7590:9997]

(la IP local se convierte en 'xxx-xps-15-7590', la misma para la interfaz de usuario web)

He comprobado que syslog realmente envía eventos de registros al archivo /var/log/udp514.log, por lo que estoy seguro de que los registros están ahí. Se permitió el puerto 9997 en la interfaz de usuario de Splunk (configuraciones de reenvío y recepción).

Sin embargo, cuando hago una búsqueda: source="/var/log/udp514.log" no aparece nada.

Splunk también lanza un mensaje:

'El procesador de salida TCP ha pausado el flujo de datos. El reenvío a host_dest=xxx-xps-15-7590 dentro del grupo de salida default-autolb-group desde host_src=xxx-XPS-15-7590 se ha bloqueado durante bloqueado_segundos=10. Esto puede detener el flujo de datos hacia la indexación y otras salidas de la red. Revise el estado del sistema receptor en Splunk Monitoring Console. Probablemente no esté aceptando datos.'

Entiendo que los datos se han reenviado desde host_src pero, por algún motivo, el indexador no los ingiere, por lo que se bloquea.

¿Alguna idea de dónde está el problema?

Respuesta1

Sin embargo, cuando hago una búsqueda: source="/var/log/udp514.log" no aparece nada.

Esta consulta no especifica un índice, por lo que utilizará su lista de índices predeterminada. Si su función no tiene índices predeterminados, la consulta no devolverá nada. Intente especificar el índice principal.

index=main source="/var/log/udp514.log"

Si aún no obtiene nada, puede ser útil aumentar la ventana de tiempo de búsqueda.

index=main source="/var/log/udp514.log" earliest=-30d latest=+30d

Después de actualizar la stanza inputs.conf para especificar un nombre de índice (una práctica recomendada), actualice la consulta para utilizar el mismo índice.

información relacionada