Splunk - 监控文件

当新数据出现时，Splunk Enterprise 会监控并索引文件或目录。您还可以指定已安装或共享的目录，包括网络文件系统，只要 Splunk Enterprise 可以从目录中读取即可。如果指定的目录包含子目录，则监控进程会递归检查它们是否有新文件，只要目录可以读取即可。

您可以使用白名单和黑名单来包括或排除文件或目录的读取。

如果您禁用或删除监控输入，Splunk Enterprise 不会停止索引文件：输入引用。它只会停止再次检查这些文件。

您指定文件或目录的路径，监控处理器会使用写入该文件或目录的任何新数据。这就是您可以监控实时应用程序日志（例如来自 Web 访问日志、Java 2 平台或 .NET 应用程序等的日志）的方法。

将文件添加到监控器

使用 Splunk Web 界面，我们可以添加要监控的文件或目录。我们转到 Splunk Home → 添加数据 → 监控器，如下图所示 −

单击监控器时，会显示可用于监控文件的文件类型和目录列表。接下来，我们选择要监控的文件。

接下来，我们选择默认值，因为 Splunk 能够解析文件并自动配置监控选项。

完成最后一步后，我们将看到以下结果，它捕获了要监控的文件中发生的事件。

如果事件中的任何值发生变化，则上述结果将更新以显示最新结果。