Splunk 监控文件

Splunk Enterprise 在出现新数据时监控文件或目录并为其编制索引。你还可以指定安装或共享目录，包括网络文件系统，只要 Splunk Enterprise 可以从该目录中读取。如果指定的目录包含子目录，则监控进程递归地检查它们是否有新文件，只要这些目录可以被读取。

你可以使用白名单和黑名单来包含或排除文件或目录被读取。

如果你禁用或删除监视器输入，Splunk Enterprise 不会停止索引文件：输入引用。它只会再次停止检查这些文件。

你指定文件或目录的路径，监视器处理器使用写入该文件或目录的任何新数据。这就是你可以监控实时应用程序日志的方式，例如来自 Web 访问日志、Java 2 平台或 .NET 应用程序等的日志。

将文件添加到监视器

使用 Splunk Web 界面，我们可以添加要监控的文件或目录。我们去 Splunk 主页 → 添加数据 → 监控 如下图所示：

单击监视器时，它会显示可用于监视文件的文件类型和目录列表。接下来，我们选择要监控的文件。

接下来，我们选择默认值，因为 Splunk 能够解析文件并自动配置监控选项。

在最后一步之后，我们看到下面的结果，它从要监视的文件中捕获事件。

如果事件中的任何值发生更改，则上述结果将更新以显示最新结果。