本文主要是介绍splunk指定syslog来源的sourcetype,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
日常工作使用splunk来分析数据,由于会接收到来自不同网络设备的数据,大多由sysylog发送出来,默认端口为udp的514端口,这样就会造成数据类型sourcetype没法确定,在使用过程中只能依靠host(来源ip)来判断,如果一台设备发送不同类型的数据,就没办法区分。因此需要用splunk的配置文件来指定udp:514的sourcetype。
在$HOME/etc/apps/$APP/local/props.conf文件中添加如下:
props.conf
######全局配置######
## 给udp:514区指定不同的sourcetype
这篇关于splunk指定syslog来源的sourcetype的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
