splunk指定syslog来源的sourcetype

最新推荐文章于 2022-08-23 15:27:31 发布
最新推荐文章于 2022-08-23 15:27:31 发布
阅读量5.3k 收藏
点赞数
分类专栏: 正则 splunk linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012085379/article/details/41979789
版权
本文介绍了如何使用Splunk的props.conf配置文件来指定UDP 514端口上syslog数据的sourcetype,以便更好地管理和区分不同网络设备发送的数据。通过设置TRANSFORMS,可以依据设备特定字段匹配并定义sourcetype。
摘要由CSDN通过智能技术生成

       日常工作使用splunk来分析数据,由于会接收到来自不同网络设备的数据,大多由sysylog发送出来,默认端口为udp的514端口,这样就会造成数据类型sourcetype没法确定,在使用过程中只能依靠host(来源ip)来判断,如果一台设备发送不同类型的数据,就没办法区分。因此需要用splunk的配置文件来指定udp:514的sourcetype。

在$HOME/etc/apps/$APP/local/props.conf文件中添加如下:

props.conf

######全局配置######

## udp:514区指定不同的sourcetype

最低0.47元/天 解锁文章
Lai.YM
关注
专栏目录
解决 Splunk windows数据接入奇葩问题
shenghuiping2001的专栏
06-09 1005
Splunk 对app 下面的inputs.conf 文件到 监控路径有严格的要求。
使用splunk for kafka connect实现连通,但是数据却没有进入splunk
QYHuiiQ
12-07 461
在实现splunk与kafka数据通路时,需要的配置都配了,在kafka自身的consumer中可以读取到producer发送的数据,但是数据却一直没有进到splunk。 思路: 由于在kafka的consumer中可以读到数据,但是在splunk里读不到,就说明问题很可能出在connect这一环节,所以查看kafka的connect.log(kafka_2.12-2.8.1/logs/): 从上面的报错信息可以看出是序列化错误,想到之前在connect-distributed.properti.
splunksyslog建立强大的日志服务器
weixin_33878457的博客
10-12 1108
2019独角兽企业重金招聘Python工程师标准>>> ...
splunk
睨噷蹇蜣的博客
12-11 761
日志处理引擎SPLUNK Wing -Thu Jul 18 23:22:58 CST 2013 Splunk分为免费Free版和企业Enterprise版。Splunk Free专供个人使用。Splunk Enterprise添加了支持多用户和分布式部署的功能,并包括警报、基于角色的安全、单一登录、预设的 PDF 交付以及对无限数据量的支持。 你可以使用浏览器访问http://zh-hans.sp...
单机版splunk创建索引和重写source,sourcetype,原日志保持不变
quguilai2006的专栏
09-06 937
indexes.conf [custom] homePath   = $SPLUNK_DB\custom\db coldPath   = $SPLUNK_DB\custom\colddb thawedPath = $SPLUNK_DB\custom\thaweddb tstatsHomePath = volume:_splunk_summaries\custom\datamodel_...
超级日志服务器-Splunk
jackiechen_vip的专栏
04-16 3856
什么是Splunk?       Splunk是一个功能强大的日志管理工具,它不仅可以用多种方式来添加日志,生产图形化报表,最厉害的是它的搜索功能 - 被称为“Google for IT”。Splunk有免费和收费版,最主要的差别在于每天的索引容量大小(索引是搜索功能的基础),免费版每天最大为500M。在使用免费版时,如果在30天之内,有7天的索引数据量超过500M,那么就不可以在搜索了(真
splunk技术系列-3
11-23
本系列将详细介绍Splunk Enterprise 6.1.1版本的数据导入、索引创建、数据来源配置、事件处理、数据预览、索引优化等多个方面。 ### 数据导入与索引创建 1. **数据导入**:Splunk支持多种数据导入方式,例如,可...
Splunk 仪表板添加下拉框
hjzcsdn的博客
06-28 1067
**Splunk 仪表板添加下拉框** 添加下拉框的目的: 为了方便在仪表板想要查看具体某个服务/主机等单独详细信息。话不多说进入正题。 一 创建一个新的仪表板或在已有仪表板添加下拉框 这里新建一个仪表板(以主机登录审计内容为例) 接入的日志为/var/log/secure 已经根据日志内容作了字段提取(个人理解,如参考请根据实际情况接入日志、提取字段) 以下为SPL语...
Splunk 体系介绍
ffjl1985的专栏
11-08 1万+
Splunk总体介绍 Splunk是什么     Splunk是一个分析计算机系统产生的机器数据,并在广泛的场景中提供数据收集、分析、可视化分布式的数据计算平台。 Splunk 是一个数据引擎。 针对所有IT系统和基础设施数据, 提供数据搜索、报表和可视化展现。 Splunk是软件 – 5分钟就可以下载和安装。 可以运行在各种主流的操作系统平台。  Splunk做什么
splunk官方文档学习笔记【安装,添加数据,搜索功能,管道命令】这一篇带你了解splunk
m0_48325361的博客
08-23 3289
文章目录前言一、splunk介绍1.安装2.添加数据二、splunk搜索功能1.匹配搜索2.字段搜索3.管道命令(|)4.子搜索([]) 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、splunk介绍 1.安装 2.添加数据 二、splunk搜索功能 1.匹配搜索 2.字段搜索 3.管道命令(|) 4.子搜索([]) ...
splunk配置转发和接收
Jepson的博客
01-14 6850
项目需求:将服务器A:192.168.149.200中的某路径下的文件转发到服务器B:192.168.149.100中 实现方法:在服务器A上安装一套splunk Enterprise(splunk自带的重型转发器功能)或者是splunk 通用转发器(splunkforwarder),在服务器B上安装一套splunk Enterprise,用于接收来自A转发的文件数据,并进行索引。转发器的配置大致...
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3664
2019独角兽企业重金招聘Python工程师标准>>> ...
Splunk使用记录-安全日志聚合分析
煜铭2011
04-02 8370
Splunk是一个功能强大的机器数据分析平台,包括机器数据的收集、索引、搜索、监控、可视化和告警等此处我们将splunk 用于网络安全的SIEM/SOC、日志安全审计系统等。
Splunk系列:Splunk字段提取篇(三)
03-03 1716
一、简单概述Splunk 是一款功能强大的搜索和分析引擎,而字段是splunk搜索的基础,提取出有效的字段就很重要。当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段...
Splunk 常见问题解答
weixin_34202952的博客
03-26 3305
安装安装Splunk所需的时间?Splunk使用标准的rpm、pkg、dmg、deb及其他安装程序,可在数分钟之内完成安装, 并不需要任何外部组件,即可完全安装在其设定的磁盘目录中。可通过Splunk Web或命令行接口,轻松的设定现场数据输入。Splunk对生产系统、应用程序及网络有何影响? 对内存资源占用情况又如何?若已有像是Syslog的现有网络记录文件功能,就不一定需...
Splunk系列:Splunk搜索分析篇(四)
03-18 5952
一、简单概述Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux sec...
Splunk的基本使用心得
热门推荐
ssegrub的博客
08-27 1万+
Splunk的一些基本使用心得
splunk 之预备学习 正则表达式基础
段智华的博客
01-17 4611
splunk 之预备学习 正则表达式基础 摘自百度百科 ^ 匹配输入字符串的开始位置。如果设置了RegExp对象的Multiline属性,^也匹配“\n”或“\r”之后的位置。 $ 匹配输入字符串的结束位置。如果设置了RegExp对象的Multiline属性,$也匹配“\n”或“\r”之前的位置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值