我已使用本指南在我的電腦中本機設定了通用轉發器
https://splunk.paloaltonetworks.com/universal-forwarder.html
/opt/splunkforwarder/etc/system/local/inputs.conf
[monitor:///var/log/udp514.log]
sourcetype = pan:log
disabled =0
/opt/splunkforwarder/etc/system/local/outputs.conf
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = xxx-xps-15-7590:9997
disabled=false
[tcpout-server://xxx-xps-15-7590:9997]
(本機 IP 變為“xxx-xps-15-7590”,與 Web UI 相同)
我已經檢查過 syslog 實際上將日誌事件發送到文件 /var/log/udp514.log 中,所以我確信日誌在那裡。 splunk UI(轉送和接收設定)上已允許連接埠 9997。
但是,當我進行搜尋時: source="/var/log/udp514.log" 沒有顯示任何內容。
splunk 還拋出一則訊息:
'TCP 輸出處理器已暫停資料流。從 host_src=xxx-XPS-15-7590 轉送至輸出群組 default-autolb-group 內的 host_dest=xxx-xps-15-7590 已被阻止,時間為 Blocked_Seconds=10。這可能會阻礙索引和其他網路輸出的資料流。在 Splunk 監控控制台中查看接收系統的運作狀況。它可能不接受數據。
我了解資料已從 host_src 轉發,但由於某種原因,非索引器不會攝取它們,因此它會被阻止?
知道問題出在哪裡嗎?
答案1
但是,當我進行搜尋時: source="/var/log/udp514.log" 沒有顯示任何內容。
此查詢未指定索引,因此將使用預設索引清單。如果您的角色沒有預設索引,則查詢將不會傳回任何內容。嘗試指定主索引。
index=main source="/var/log/udp514.log"
如果您仍然一無所獲,增加搜尋時間視窗可能會有所幫助。
index=main source="/var/log/udp514.log" earliest=-30d latest=+30d
更新 input.conf 節以指定索引名稱(最佳實踐)後,然後更新查詢以使用相同的索引。