配置Splunk监视文件系统的更改
本教程主要是介绍利用Splunk Forwarder来监视并转发主机文件系统更改的Log。
Splunk
首先要在装有Splunk的主机上,利用Web splunk添加一个索引,本教程添加的索引名为change。
在需要监视的主机上安装Splunk Forwarder。
Splunk Forwarder
Splunk Forwarder安装并配置教程:
https://docs.splunk.com/Documentation/Forwarder/8.0.4/Forwarder/HowtoforwarddatatoSplunkEnterprise
完成后,根据路径C:\Program Files\SplunkUniversalForwarder\etc\system\local
打开配置文件inputs.conf
,添加如下内容:
[fschange:C:\change]
pollPeriod = 60
#generate audit events into the audit index, instead of fschange events
signedaudit=false
recurse=true
followLinks=false
hashMaxSize=2000000
fullEvent=false
sendEventMaxSize=-1
filesPerDelay = 10
delayInMills = 100
index=change
下面来具体介绍这些属性
[fschange:C:\change] #C:\change为要监视的文件路径,可根据情况自行修改
pollPeriod = 60 #每60秒检查一次此目录是否有更改
signedaudit=false #true为使用_audit索引,false要自行设置索引
recurse=true #是否递归目录中所有文件,true为递归目录中的所有文件,false为只有指定的当前目录下
followLinks=false #是否遵循符号链接,true为跟随
hashMaxSize=2000000 #设置计算Hash码的文件大小范围(字节为单位),-1为不计算Hash码
fullEvent=false #检测到添加或更新更改,则发送完整事件
sendEventMaxSize=-1 #发送完整事件的最大事件限制,-1为无限
filesPerDelay = 10 #注入文件delayInMills处理后指定的延迟
delayInMills = 100 #处理每个文件后要使用的延迟时间
index=change #自行设置索引
#sourcetype:signedaudit=true则为audittrail,signedaudit=false则为fs_notification
配置文件完成后,保存并关闭,重启Splunk Forwarder服务。
测试是否配置成功
在指定需要监控的目录下添加或删除文件,如C:\change
下添加test.txt
,打开Splunk的search,输入index=change
,如有时间产生则为成功,如下图: