Universal Forwarder Windows 版の設定について

makeoshimi_chan · ‎11-12-2013

Universal Forwarder Windows版で特定のファイルのsourcetypeを指定したいので

props.confもしくはinputs.confにsourcetype = hogeという設定を入れようと思うのですが

設定ファイルと思われるファイルが複数あり、どこに記述すればよいのかわかりません。

Forwarderのインストーラーは$SPLUNK_HOME/etc/apps/MSICreated/local/inputs.confにモニタリングする
場所を設定しているので、そこに

[monitor://path]
disabled = false
sourcetype = hoge

と記述すれば設定できるようですが、手動でMSICreatedの設定を変更して問題ないのでしょうか？
他の場所に記述すべきなのでしょうか？

また、props.confに記述する場合は$SPLUNK_HOME/etc/system/localに記述すると思っていましたが
設定が反映されないようです。記述する場所は合っていますでしょうか？

よろしくお願いいたします。

Splunkのバージョンは5.0.3を使用しています。

sunrise · ‎11-13-2013

Deployment Serverを立てていない場合には、
appディレクトリの下に新規にディレクトリ（$SPLUNK_HOME/etc/app/sample_app/local）を作成して
inputs.conf, props.confを作成していった方が良いと思います。

├─sample_app
　  ├─local <= このディレクトリ内にinputs.conf or props.conf を新規に作成

melonman · ‎12-10-2013

特定の用途別に設定ファイルやダッシュボード等のGUIパーツをひとまとめにしてあるのが、etc/apps//以下のファイル群ですが、この辺りを説明しているのが、以下のadminガイドになります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Configurationfiledirectories

複数のinputs.conf等の設定の反映のされ方については、以下に記載されております。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Wheretofindtheconfigurationfiles

makeoshimi_chan · ‎11-13-2013

連投すみません。

appディレクトリの下に新規にディレクトリを作成し、設定するという発想が出てこなかったのですが、このへんの設定について参照すべきドキュメント等あれば、教えていただけますか？

Splunkを使う際にappを作成していないからapp周りの知識がないだけかもしれません

makeoshimi_chan · ‎11-13-2013

回答ありがとうございます。

この場合、MSICreate/inputs.confとsample_app/inputs.confに[monitor://path]が重複することになりますが
問題ないのでしょうか？MSICreate/inputs.confの[monitor://path]は削除したほうがよいのでしょうか？

# MSICreate/inputs.conf
[monitor://C:\a.log]  <--- インストーラが自動生成
disabled = false      <--- インストーラが自動生成

# sample_app/inputs.conf
[monitor://C:\a.log]  <--- ユーザーが作成
sourcetype = hoge     <--- ユーザーが作成

よろしくお願いいたします。

Universal Forwarder Windows 版の設定について

Introducing the 2024 SplunkTrust!

Introducing the 2024 Splunk MVPs!

Splunk Custom Visualizations App End of Life