如何解决如何将数据库日志导入splunk?我只需要将日志记录为Warning,Error,Critical,ORA- *日志任何示例道具更改将不胜感激
我有主机详细信息列表和日志目录。我需要获取日志的关键字被吸收到以下列表中的splunk中 警告,错误,严重,ORA- *日志
解决方法
试图将其分解为主要步骤。也许已经执行了一些步骤,但只需滚动一下即可。
-
主机将需要安装通用转发器并将数据发送到索引层。
-
您将需要在转发器上创建一个应用 ,并添加一个inputs.conf $ SPLUNK_HOME $ / etc / apps / your_app / local / inputs.conf
[monitor:///var/log/my_app/oracle.log]
disabled = 0
index = oracle
sourcetype = your_sourcetype
- 在索引器上,您需要一个应用程序来仅过滤所需的日志行。将props / transforms文件放置在名称相似的应用程序中
$SPLUNK_HOME$/etc/apps/your_app/local/props.conf
$SPLUNK_HOME$/etc/apps/your_app/local/transforms.conf
props.conf
[your_sourcetype]
TRANSFORMS-set = setnull,setparsing
transforms.conf
# This sends all events to be ignored
[setnull]
REGEX = .
DEST_KEY = queue
FORMAT = nullQueue
# this says ignore all events,except the ones containing ERROR
[setparsing]
REGEX = Error|Warning|ORA-\d{0,5}|Critical
DEST_KEY = queue
FORMAT = indexQueue
[your_sourcetype1]
TRANSFORMS-set = setnull,setparsing
[your_souretype2]
TRANSFORMS-set = setnull,setparsing
- 最后但并非最不重要的一点,不要忘记在转发器和索引器上重新启动splunk
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。