[Splunk] forwarder 통한 Data 수집 과정

간략

1. splunk 수신 설정

port: 9997

2. Search - Index 설정

3. Search - Source Type 설정

4. Forwarder - Indexer 설정

C:\Program Files\SplunkUniversalForwarder\etc\system\local\outputs.conf

[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = 192.168.131.133:9997,127.0.0.1:9997

[tcpout-server://192.168.131.133:9997]

[tcpout-server://127.0.0.1:9997]

5. Forwarder - Directory(Path) 설정

C:\Program Files\SplunkUniversalForwarder\etc\system\local\inputs.conf

[default]
host = 1

[monitor://C:\Users\mellowlee\Desktop\monit\aSource\*.txt]
index=asource_idx01
disable=0



[monitor://C:\Users\mellowlee\Desktop\monit\bSource\*.txt]
index=bsource_idx02
disable=0

[monitor://C:\Users\mellowlee\Desktop\samples\type01\*.txt]
index=idx01_type01
sourcetype=st01_type01
disable=0

6. Search - Data 확인

 

---

1. Splunk 수신 설정

 

 

 

 

 

---

2. Search - Index 설정

 

---

3. Search - Source Type 설정

 

 

 

 

이벤트 구분 정책 → 모든행 수정

 

 

 

 

 

 

 

---

4. Forwarder - Indexer 설정

 

C:\Program Files\

두 개이상의 indexer에 접속할 경우 default-autolb-group에 추가해주면 된다.

상세 내용

 

[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = 192.168.131.133:9997,127.0.0.1:9997

[tcpout-server://192.168.131.133:9997]

[tcpout-server://127.0.0.1:9997]

 

---

5. Forwarder - Directory(Path) 설정

 

대상 폴더 위치

 

 

[default]
host = 1

[monitor://C:\Users\mellowlee\Desktop\monit\aSource\*.txt]
index=asource_idx01
disable=0



[monitor://C:\Users\mellowlee\Desktop\monit\bSource\*.txt]
index=bsource_idx02
disable=0

[monitor://C:\Users\mellowlee\Desktop\samples\type01\*.txt]
index=idx01_type01
sourcetype=st01_type01
disable=0

---

6. Search - Data 확인

 

---

오류

inputs.conf에 sourcetype을 지정하지 않으면 new-too_small이된다.

해당 부분은 수정이 필요하다.

 

추가

host의 이름은 inputs.conf의 host로 지정할 수 있다.

C:\Program Files\SplunkUniversalForwarder\etc\system\local\inputs.conf