配置Splunk监视文件系统的更改

最新推荐文章于 2021-11-13 20:05:52 发布
最新推荐文章于 2021-11-13 20:05:52 发布
阅读量682 收藏
点赞数
分类专栏: 文件系统 监控 splunk forwarder 文章标签: Splunk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baobaoyu_/article/details/107060425
版权

这里写自定义目录标题

配置Splunk监视文件系统的更改

本教程主要是介绍利用Splunk Forwarder来监视并转发主机文件系统更改的Log。

Splunk

首先要在装有Splunk的主机上,利用Web splunk添加一个索引,本教程添加的索引名为change。
在需要监视的主机上安装Splunk Forwarder。

Splunk Forwarder

Splunk Forwarder安装并配置教程:
https://docs.splunk.com/Documentation/Forwarder/8.0.4/Forwarder/HowtoforwarddatatoSplunkEnterprise
完成后,根据路径C:\Program Files\SplunkUniversalForwarder\etc\system\local打开配置文件inputs.conf,添加如下内容:

[fschange:C:\change]
pollPeriod = 60
#generate audit events into the audit index, instead of fschange events
signedaudit=false
recurse=true
followLinks=false
hashMaxSize=2000000
fullEvent=false
sendEventMaxSize=-1
filesPerDelay = 10
delayInMills = 100
index=change

下面来具体介绍这些属性

[fschange:C:\change] #C:\change为要监视的文件路径,可根据情况自行修改
pollPeriod = 60 #每60秒检查一次此目录是否有更改
signedaudit=false #true为使用_audit索引,false要自行设置索引
recurse=true #是否递归目录中所有文件,true为递归目录中的所有文件,false为只有指定的当前目录下
followLinks=false #是否遵循符号链接,true为跟随
hashMaxSize=2000000 #设置计算Hash码的文件大小范围(字节为单位),-1为不计算Hash码
fullEvent=false  #检测到添加或更新更改,则发送完整事件
sendEventMaxSize=-1 #发送完整事件的最大事件限制,-1为无限
filesPerDelay = 10 #注入文件delayInMills处理后指定的延迟
delayInMills = 100 #处理每个文件后要使用的延迟时间
index=change #自行设置索引
#sourcetype:signedaudit=true则为audittrail,signedaudit=false则为fs_notification

配置文件完成后,保存并关闭,重启Splunk Forwarder服务。

测试是否配置成功

在指定需要监控的目录下添加或删除文件,如C:\change下添加test.txt,打开Splunk的search,输入index=change,如有时间产生则为成功,如下图:
在这里插入图片描述

Ashlyn_^^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[配置参数列表] Splunk UBA confuba-site.properties
shenghuiping2001的专栏
12-03 380
Splunk UBA 的各种参数,对UBA 的配置发挥作用的,举个例子:threat / anomaly 的停留时间就是:persistence.anomalies.trashed.maintain.days ,默认default 是90天
使用splunk for kafka connect实现连通,但是数据却没有进入splunk
QYHuiiQ
12-07 432
在实现splunk与kafka数据通路时,需要的配置都配了,在kafka自身的consumer中可以读取到producer发送的数据,但是数据却一直没有进到splunk。 思路: 由于在kafka的consumer中可以读到数据,但是在splunk里读不到,就说明问题很可能出在connect这一环节,所以查看kafka的connect.log(kafka_2.12-2.8.1/logs/): 从上面的报错信息可以看出是序列化错误,想到之前在connect-distributed.properti.
splunk 监视文件目录_使用Splunk监视Corda节点
weixin_26746861的博客
07-17 512
splunk 监视文件目录 介绍 (Introduction) Creating a great CorDapp doesn’t stop at writing elaborate contract and flow tests; the continuous improvement must proceed beyond that by monitoring the Corda nodes an...
Splunk安装和配置
chuangwei7028的博客
12-31 859
安装环境: CentOS 6.2 64Bit 安装: 首先关闭selinux: #vi /etc/sysconfig/selinux SELINUX=disabled setenforce 0 下载最新版: splunk-6.0.1-189883-Linux-x...
splunk操作手册中文版
02-27
splunk操作手册中文版
SPLUNK大数据日志系统分析平台技术方案
06-21
### SPLUNK大数据日志系统分析平台技术方案 #### 一、项目背景与需求 随着信息技术的快速发展,组织机构对科技运维工作的要求日益提高。面对庞大的数据量和复杂的系统环境,传统的运维方式已难以满足需求。为此,...
splunk安装包rpm文件
05-12
Splunk 是机器数据的引擎。使用 Splunk 可收集、索引...监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及 IT 和业务智能。
Splunk App for AWS配置手册.pdf
07-14
利用大数据分析splunk 工具,对aws 成本使用,资源使用,合规性审查,进行可视化的展示。splunk 和 aws 的完美结合。
ksconf:Kintyre的Splunk配置工具
04-08
将活动系统的(本地)文件夹中的更改合并到版本控制的(默认)文件夹中,并处理多于一层的“默认”,这都是Splunk所不支持的所有受支持的任务。安装Splunk: 下载并安装 运行命令: splunk cmd python $SPLUNK_HOME...
基于Splunk的安全监控系统_企业SIEM经验之谈.pdf
08-08
目录 面临哪些问题 如何解决 安全监控系统架构 持续而广泛的安全监控
Splunk智能运维实战》——1.2 索引文件和目录
weixin_33940102的博客
05-02 548
本节书摘来自华章计算机《Splunk智能运维实战》一书中的第1章,第1.2节,作者 [美]乔史·戴昆(Josh Diakun),保罗R.约翰逊(Paul R. Johnson),德莱克·默克(Derek Mock),译 宫鑫,康宁,刘法宗 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。 1.2 索引文件和目录 从文件和目录输入数据是向Splun...
spark sql加载txt文件02
wj1298250240的博客
12-15 657
spark sql加载txt文件02 加载映射 #方法2需要复制这三行 import findspark findspark.init() import pyspark from __future__ import print_function # $example on:init_session$ from pyspark.sql import SparkSession # $example...
splunk 转发器安装
热门推荐
信安是不可或缺的一部分!
09-22 1万+
转发器获取 转发器是splunk数据来源之一 centos 7转发器安装 上传转发器到需要转发日志的电脑 tar -zxvf splunkforwarder-8.2.2.1-ae6821b7c64b-Linux-x86_64.tgz #解压转发器 chmod 755 splunkforwarder -R #添加权限 cd splunkforwarder/bin# 进入转发器目录 splunk操作命令: ./splunk start #启动 ./splunk restart #重新启动 ./spun
splunk指定syslog来源的sourcetype
u012085379的专栏
12-17 5354
日常工作使用splunk来分析数据,由于会接收到来自不同网络设备的数据,大多由sysylog发送出来,默认端口为udp的514端口,这样就会造成数据类型sourcetype没法确定,在使用过程中只能依靠host(来源ip)来判断,如果一台设备发送不同类型的数据,就没办法区分。因此需要用splunk配置文件来指定udp:514的sourcetype。 在$HOME/etc/apps/$APP/l
部署splunk-cluster (含 故障排除)
shenghuiping2001的专栏
11-13 760
服务器列表: No hostname IP function 1 cm01 172.18.0.2 Clustering master server 2 sh01 172.18.0.3 Search head ser
splunk】一些查询例子
weixin_34419321的博客
03-31 2493
最重要资料: 入门基础:http://docs.splunk.com/Documentation/Splunk/6.5.2/SearchTutorial/WelcometotheSearchTutorial 查询语句写法:http://docs.splunk.com/Documentation/Splunk/6.5.2/SearchReference/WhatsInThisManual 其他:在上...
更新 splunk 的监控forwarder上面app文件
shenghuiping2001的专栏
09-30 197
今天修改app 的监控文件路径: 1: 因为要创建新的index:in_jiangsu. 所以,我就登入了CM :cluster mastering server: /opt/splunk/etc/master-apps/app_name/default/indexes.conf 把index: in_jiangsu 加进去: [in_jiangsu] homePath = $SPLUNK_DB/in_jiangsu_db/db coldPath = $SPLUNK_DB/in_jiangs.
java监控文件更新_Java监控文件变化
weixin_42509803的博客
02-23 475
NIO.2的Path类提供了如下的一个方法来监听文件系统的变化。register(WatcherService watcher,WatchEvent.Kind>... events):用watcher监听该path代表的目录下文件变化。event参数指定要监听哪些类型的事件。WatchService有三个方法来监听目录的文件变化事件。WatchKey poll():获取下一个WatchKey...
splunk配置文件
最新发布
08-23
Splunk 中,有多个配置文件用于管理和定制系统的不同方面。以下是一些常见的 Splunk 配置文件: 1. `inputs.conf`:该配置文件用于定义数据源,即 Splunk 从哪里获取数据。您可以在此配置文件中指定要监视的文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值