Как загрузить журналы db в splunk? Мне нужны только журналы предупреждений, ошибок, критических ошибок, журналов ORA-*. приветствуются любые изменения опор
У меня есть список сведений о хосте и каталоги журналов. Ключевые слова, в которых мне нужно получить журнал, который будет загружен в splunk в следующем списке: журналы предупреждений, ошибок, критических ошибок, ORA-*
1 ответ
Пытаемся разбить это на основные этапы. Возможно, некоторые шаги уже выполнены, но просто пролистайте их.
На хосте должен быть установлен универсальный сервер пересылки, который отправляет данные на ваш уровень индексации.
Вам нужно будет создать приложение на сервере пересылки и добавить inputs.conf $SPLUNK_HOME$/etc/apps/your_app/local/inputs.conf
[monitor:///var/log/my_app/oracle.log]
disabled = 0
index = oracle
sourcetype = your_sourcetype
- В индексаторе вам понадобится приложение для фильтрации только нужных вам строк журнала. Поместите файлы реквизитов / преобразований в одноименное приложение
$SPLUNK_HOME$/etc/apps/your_app/local/props.conf
$SPLUNK_HOME$/etc/apps/your_app/local/transforms.conf
props.conf
[your_sourcetype]
TRANSFORMS-set = setnull, setparsing
transforms.conf
# This sends all events to be ignored
[setnull]
REGEX = .
DEST_KEY = queue
FORMAT = nullQueue
# this says ignore all events, except the ones containing ERROR
[setparsing]
REGEX = Error|Warning|ORA-\d{0,5}|Critical
DEST_KEY = queue
FORMAT = indexQueue
[your_sourcetype1]
TRANSFORMS-set = setnull, setparsing
[your_souretype2]
TRANSFORMS-set = setnull, setparsing
- И последнее, но не менее важное: не забудьте перезапустить splunk как на сервере пересылки, так и на индексаторе.