Splunk では大きく分けて3のデータ入力方法があります。
① .既存ログファイルのアップロード
② 常時出力されるログの取得
③ フォワーダーから送られてくるログの取得
Splunk のインストールが終わったらとりあえず②の方法で手頃なログを登録してみます。
手頃なログということで、Apache httpdのアクセスログを監視対象として登録してみました。
まずは 、Add Dataからmonitorを選択します。
Select Sourceでは、監視対象のファイルパスを指定します。
UI上で選択することも出来ます。
Set Sourcetype では、インデックス化する情報(検索時に使用できる"日付"や"IP")の形式を指定できます。
とりあえず、変更せずにデフォルトのまま進めます。
Sourcetype名を聞かれるので"access_log"と入れておきます。
Input Settingsでは、複数サーバある場合に便利なサーバ名等の情報をしていできますが、
ここもとりあえず、変更せずにデフォルトで。
Reviewで入力確認をしたらサブミットして登録完了です。
完了するとStart Searchingから、そのまま検索画面に飛べます。
検索画面に飛ぶと、先ほど入力したログの情報が検索画面に入力された状態で表示されます。
「source="/var/log/httpd/access_log" host="server030" sourcetype="access_log"」
これで、access_logが監視されます。
0 件のコメント:
コメントを投稿