Splunk 接入 windows的dhcp日志
建议使用最新的 micorsoft add-on (当前版本8.0以上)去接入dhcp,下载地址https://splunkbase.splunk.com/app/742/ 。 然后将此包解压放到windows服务器上。
- 先在windows服务器安装 splunk forwarder。安装过程如下
输入用户名密码,这个不重要。然后deployment server这里不填
indexer这里输入 splunk 服务器的地址
- 将刚才解压完的add-on文件夹复制到 C:\Program Files\SplunkUniversalForwarder\etc\apps
- 进入该文件夹 default目录 ,用写字板打开 inputs.conf
查找到DHCP这一节
修改配置
[monitor://C:\Windows\System32\DHCP]
disabled = 0
whitelist = Dhcp.+.log
crcSalt = <SOURCE>
sourcetype = dhcp
index = dhcplog
然后去到 C:\Program Files\SplunkUniversalForwarder\etc\system\local 下新建 props.conf 输入
NO_BINARY_CHECK = true
CHARSET = GB2312
保存完重启splunk universal forwarder
回到splunk , 可以看到已经成功接收到数据,并且能够自动解析出字段