- Splunk 教程
- Splunk - 首页
- Splunk - 概述
- Splunk - 环境
- Splunk - 接口
- Splunk - 数据摄取
- Splunk - 数据源类型
- Splunk - 基本搜索
- Splunk - 字段搜索
- Splunk - 时间范围搜索
- Splunk - 分享和导出
- Splunk - 搜索语言
- Splunk - 搜索优化
- Splunk - 数据转换命令
- Splunk - 报表
- Splunk - 仪表盘
- Splunk - 数据透视和数据集
- Splunk - 查询表
- Splunk - 定时任务和告警
- Splunk - 知识管理
- Splunk - 子查询
- Splunk - 搜索宏
- Splunk - 事件类型
- Splunk - 基本图表
- Splunk - 叠加图表
- Splunk - 微型图表
- Splunk - 索引管理
- Splunk - 计算字段
- Splunk - 标签
- Splunk - 应用
- Splunk - 删除数据
- Splunk - 自定义图表
- Splunk - 文件监控
- Splunk - 排序命令
- Splunk - top 命令
- Splunk - stats 命令
- Splunk 有用资源
- Splunk - 快速指南
- Splunk - 有用资源
- Splunk - 讨论
Splunk - 文件监控
Splunk Enterprise 监控并索引文件或目录中出现的新数据。您还可以指定已挂载或共享的目录,包括网络文件系统,只要 Splunk Enterprise 可以读取该目录即可。如果指定的目录包含子目录,则监控进程会递归检查这些子目录中的新文件,只要可以读取这些目录即可。
您可以使用白名单和黑名单来包含或排除要读取的文件或目录。
如果您禁用或删除监控输入,Splunk Enterprise 不会停止索引文件:输入引用。它只会停止再次检查这些文件。
您指定文件或目录的路径,监控处理器会使用写入该文件或目录的任何新数据。这就是您可以监控实时应用程序日志的方式,例如来自 Web 访问日志、Java 2 平台或 .NET 应用程序等的日志。
将文件添加到监控
使用 Splunk Web 界面,我们可以添加要监控的文件或目录。我们进入 **Splunk 首页 → 添加数据 → 监控**,如下面的图片所示:
单击“监控”后,它会列出您可以用来监控文件的各种文件和目录类型。接下来,我们选择要监控的文件。
接下来,我们选择默认值,因为 Splunk 能够解析文件并自动配置监控选项。
最后一步之后,我们将看到下面的结果,该结果捕获了要监控的文件中的事件。
如果事件中的任何值发生更改,则上述结果将更新为显示最新结果。
广告