Fatal编程技术网
  • unix/
  • 如何将日志配置为splunk中远程unix服务器的数据源?

如何将日志配置为splunk中远程unix服务器的数据源?

unix

如何将日志配置为splunk中远程unix服务器的数据源?,unix,Unix,如何使用驻留在远程unix服务器上的日志文件配置splunk 通常我登录putty到一个linux服务器,从那里我用ssh连接到另一个公司服务器,在目录中导航并执行我的操作,主要有cat,zcat等,还有grep过滤器。例: 使用putty登录示例_服务器 ssh到ssh_服务器 cd到req目录 执行cat等 ssh_服务器不允许直接从putty登录,我必须先登录到example_服务器,然后再登录到ssh_服务器 如何将这些日志文件配置为splunk用于搜索字符串,类似于使用grep。我已经

如何使用驻留在远程unix服务器上的日志文件配置splunk

通常我登录putty到一个linux服务器,从那里我用ssh连接到另一个公司服务器,在目录中导航并执行我的操作,主要有
cat
zcat
等,还有grep过滤器。例:

  • 使用putty登录示例_服务器
  • ssh到ssh_服务器
  • cd到req目录
  • 执行cat等
    • ssh_服务器不允许直接从putty登录,我必须先登录到example_服务器,然后再登录到ssh_服务器

    如何将这些日志文件配置为splunk用于搜索字符串,类似于使用grep。我已经在笔记本电脑上安装了splunk,通过单击
    添加数据>文件
    dir>添加新文件
    它会显示数据字段的完整路径,我应该用什么路径填充它?

    最简单的答案是在远程Linux系统上安装splunk通用转发器(UF)。UF是免费的,不需要许可证

    有关更多信息-

    如果无法在受监控的服务器上安装任何新的二进制文件(如我的情况),您应该评估其他选项:

    • 使用splunk中的“从脚本获取日志数据”选项,并创建如下所示的脚本: sshuser@10.10.10.10cat/var/logs/logfile.log 警告:如果轮询间隔较短且日志较大,则会破坏索引,因为每次轮询文件时都会注册每个日志事件

    • 使用运行rsync的cron作业在splunk服务器本地镜像日志: 这份工作看起来是这样的 /usr/bin/rsync-亚利桑那州user@10.10.10.10:/var/logs//var/remoteLogs/ 在这种情况下,每个添加的行将只生成一个日志事件i splunk

    对于这两种解决方案,安装的SSH密钥都是必需的