Splunk-ファイルの監視

Splunk Enterpriseは、新しいデータが表示されると、ファイルまたはディレクトリを監視およびインデックス付けします。 Splunk Enterpriseがディレクトリから読み取れる限り、ネットワークファイルシステムを含むマウントされたディレクトリまたは共有ディレクトリを指定することもできます。 指定されたディレクトリにサブディレクトリが含まれる場合、監視プロセスは、ディレクトリが読み取れる限り、新しいファイルがないか再帰的にそれらを調べます。

ホワイトリストとブラックリストを使用して、ファイルまたはディレクトリを読み取り対象に含めたり除外したりできます。

モニター入力を無効にしたり削除したりしても、Splunk Enterpriseは入力インデックスのファイルのインデックス作成を停止しません。 これらのファイルのチェックのみを停止します。

ファイルまたはディレクトリへのパスを指定すると、モニタープロセッサはそのファイルまたはディレクトリに書き込まれた新しいデータを消費します。 これにより、Webアクセスログ、Java 2プラットフォーム、または.NETアプリケーションなどからのログなど、ライブアプリケーションログを監視できます。

ファイルをモニターに追加する

Splunk Webインターフェイスを使用して、監視するファイルまたはディレクトリを追加できます。 以下の画像に示すように、* Splunkホーム→データの追加→モニター*に移動します-

Monitor Files1

[監視]をクリックすると、ファイルの種類のリストと、ファイルの監視に使用できるディレクトリが表示されます。 次に、監視するファイルを選択します。

Monitor Files2

次に、Splunkがファイルを解析し、自動的に監視するためのオプションを設定できるため、デフォルト値を選択します。

最後のステップの後、監視対象のファイルからイベントをキャプチャする以下の結果が表示されます。

Monitor Files3

イベントの値のいずれかが変更されると、上記の結果が更新されて最新の結果が表示されます。