Splunk 使用TCP或UDP_Splunk - Fatal编程技术网

Splunk 使用TCP或UDP

Splunk 使用TCP或UDP,splunk,Splunk,我可以上传文件并进行分析 splunk>搜索>添加更多数据>来自文件和目录假设我在10.10.10.100上托管了splunk，我想访问10.10.10.99上的日志，位置是“/var/log/somefile.log” 目前我正在将文件从99复制到100，然后进行分析。有没有更好的方法动态链接到源代码？您有几个选项可以实现这一点：在10.10.10.99上安装Splunk转发器，并将其配置为转发到10.10.10.100。这是最可靠和灵活的方法。看使用syslog或syslog ng从

我可以上传文件并进行分析

splunk>搜索>添加更多数据>来自文件和目录

假设我在10.10.10.100上托管了splunk，我想访问10.10.10.99上的日志，位置是“/var/log/somefile.log”

目前我正在将文件从99复制到100，然后进行分析。有没有更好的方法动态链接到源代码？

您有几个选项可以实现这一点：

在

10.10.10.99

上安装Splunk转发器，并将其配置为转发到

10.10.10.100

。这是最可靠和灵活的方法。看

使用syslog或syslog ng从

.99

转发到

.100

。然后，您可以将Splunk设置为监视syslog日志文件或直接在syslog网络端口上侦听，具体取决于您如何设置syslog。如果您的数据中心已经运行了syslog，那么这是最有效的

在

.99

上设置原始TCP（或UDP）转发器，即将数据流传送到

.100

一般来说，您将在上更快地回答您的问题。

您必须澄清您的问题-现在这太模糊了，除了“使用您最喜欢的编程语言，打开所需主机和端口的套接字”之外，您无法回答其他任何问题。您可能正在寻找一个类似syslog ng的包，它允许日志集中或转发，请参阅：如果是后者，我建议将其迁移到superuser.Johnvey-我正在使用netcat将脚本日志重定向到.100（此处使用相同的示例）。如果我把流放在一个文件中，并通过splunk读取它，它就可以完美地工作。但这意味着需要两次保存日志。如果我通过splunk直接监听端口，就没有数据日志。此外，搜索模块中的数据源从不将TCP/UDP显示为源，仅显示文件。有什么问题吗？

But how do I use TCP and / or UDP?