이 가이드를 사용하여 내 컴퓨터에 로컬로 Universal Forwarder를 설정했습니다.
https://splunk.paloaltonetworks.com/universal-forwarder.html
/opt/splunkforwarder/etc/system/local/inputs.conf
[monitor:///var/log/udp514.log]
sourcetype = pan:log
disabled =0
/opt/splunkforwarder/etc/system/local/outputs.conf
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = xxx-xps-15-7590:9997
disabled=false
[tcpout-server://xxx-xps-15-7590:9997]
(로컬 IP는 웹 UI와 동일하게 'xxx-xps-15-7590'이 됩니다)
syslog가 실제로 로그 이벤트를 /var/log/udp514.log 파일로 보내는 것을 확인했으므로 로그가 거기에 있다고 확신합니다. splunk UI에서 포트 9997이 허용되었습니다(전달 및 수신 설정).
그러나 검색을 수행하면 source="/var/log/udp514.log" 아무것도 표시되지 않습니다.
또한 splunk는 다음 메시지를 표시합니다.
'TCP 출력 프로세서가 데이터 흐름을 일시 중지했습니다. host_src=xxx-XPS-15-7590에서 출력 그룹 default-autolb-group 내부의 host_dest=xxx-xps-15-7590으로의 전달이 Blocked_seconds=10에 대해 차단되었습니다. 이로 인해 인덱싱 및 기타 네트워크 출력을 향한 데이터 흐름이 중단될 수 있습니다. Splunk 모니터링 콘솔에서 수신 시스템의 상태를 검토하세요. 아마도 데이터를 받아들이지 않는 것 같습니다.'
데이터가 host_src에서 전달되었지만 어떤 이유로 인덱서가 아닌 것이 데이터를 수집하지 않아 차단된다는 것을 알고 있습니다.
문제가 어디에 있는지 아시나요?
답변1
그러나 검색을 수행하면 source="/var/log/udp514.log" 아무것도 표시되지 않습니다.
이 쿼리는 인덱스를 지정하지 않으므로 기본 인덱스 목록을 사용합니다. 역할에 기본 인덱스가 없으면 쿼리는 아무것도 반환하지 않습니다. 기본 인덱스를 지정해 보세요.
index=main source="/var/log/udp514.log"
여전히 아무것도 얻지 못하면 검색 시간 창을 늘리는 것이 도움이 될 수 있습니다.
index=main source="/var/log/udp514.log" earliest=-30d latest=+30d
inputs.conf 스탠자를 업데이트하여 인덱스 이름을 지정한 후(모범 사례) 동일한 인덱스를 사용하도록 쿼리를 업데이트합니다.