Я настроил Universal Forwarder локально на своей машине, используя это руководство.
https://splunk.paloaltonetworks.com/universal-forwarder.html
/opt/splunkforwarder/etc/system/local/inputs.conf
[monitor:///var/log/udp514.log]
sourcetype = pan:log
disabled =0
/opt/splunkforwarder/etc/system/local/outputs.conf
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = xxx-xps-15-7590:9997
disabled=false
[tcpout-server://xxx-xps-15-7590:9997]
(локальный IP-адрес становится «xxx-xps-15-7590», то же самое и для веб-интерфейса)
Я проверил, что syslog на самом деле отправляет логи событий в файл /var/log/udp514.log, поэтому я уверен, что логи там есть. Порт 9997 был разрешен в пользовательском интерфейсе splunk (настройки пересылки и получения).
Однако при поиске по source="/var/log/udp514.log" ничего не отображается.
Также splunk выдает сообщение:
«Процессор вывода TCP приостановил поток данных. Пересылка на host_dest=xxx-xps-15-7590 внутри выходной группы default-autolb-group с host_src=xxx-XPS-15-7590 заблокирована на blocked_seconds=10. Это может задержать поток данных в направлении индексации и других сетевых выводов. Проверьте работоспособность принимающей системы в консоли мониторинга Splunk. Вероятно, она не принимает данные».
Я понимаю, что данные были пересланы из host_src, но индексатор по какой-то причине не принимает их, поэтому они блокируются?
Есть идеи, в чем проблема?
решение1
Однако при поиске по source="/var/log/udp514.log" ничего не отображается.
Этот запрос не указывает индекс, поэтому будет использовать ваш список индексов по умолчанию. Если у вашей роли нет индексов по умолчанию, то запрос ничего не вернет. Попробуйте указать основной индекс.
index=main source="/var/log/udp514.log"
Если вы по-прежнему ничего не получаете, возможно, поможет увеличение временного окна поиска.
index=main source="/var/log/udp514.log" earliest=-30d latest=+30d
После обновления раздела inputs.conf для указания имени индекса (рекомендуется), обновите запрос, чтобы использовать тот же индекс.