Getting Data In
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
Ask a Question

Universal Forwarder Windows 版の設定について

makeoshimi_chan
New Member
‎11-12-2013 01:11 AM

Universal Forwarder Windows版で特定のファイルのsourcetypeを指定したいので

props.confもしくはinputs.confにsourcetype = hogeという設定を入れようと思うのですが

設定ファイルと思われるファイルが複数あり、どこに記述すればよいのかわかりません。

Forwarderのインストーラーは$SPLUNK_HOME/etc/apps/MSICreated/local/inputs.confにモニタリングする
場所を設定しているので、そこに

[monitor://path]
disabled = false
sourcetype = hoge

と記述すれば設定できるようですが、手動でMSICreatedの設定を変更して問題ないのでしょうか?
他の場所に記述すべきなのでしょうか?

また、props.confに記述する場合は$SPLUNK_HOME/etc/system/localに記述すると思っていましたが
設定が反映されないようです。記述する場所は合っていますでしょうか?

よろしくお願いいたします。

Splunkのバージョンは5.0.3を使用しています。

0 Karma
Reply

sunrise
Contributor
‎11-13-2013 02:34 AM

Deployment Serverを立てていない場合には、
appディレクトリの下に新規にディレクトリ($SPLUNK_HOME/etc/app/sample_app/local)を作成して
inputs.conf, props.confを作成していった方が良いと思います。

├─sample_app
   ├─local <= このディレクトリ内にinputs.conf or props.conf を新規に作成
0 Karma
Reply

melonman
Motivator
‎12-10-2013 09:28 PM

特定の用途別に設定ファイルやダッシュボード等のGUIパーツをひとまとめにしてあるのが、etc/apps//以下のファイル群ですが、この辺りを説明しているのが、以下のadminガイドになります。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Configurationfiledirectories

複数のinputs.conf等の設定の反映のされ方については、以下に記載されております。

http://docs.splunk.com/Documentation/Splunk/latest/Admin/Wheretofindtheconfigurationfiles

0 Karma
Reply

makeoshimi_chan
New Member
‎11-13-2013 06:22 PM

連投すみません。

appディレクトリの下に新規にディレクトリを作成し、設定するという発想が出てこなかったのですが、このへんの設定について参照すべきドキュメント等あれば、教えていただけますか?

Splunkを使う際にappを作成していないからapp周りの知識がないだけかもしれません

0 Karma
Reply

makeoshimi_chan
New Member
‎11-13-2013 06:17 PM

回答ありがとうございます。

この場合、MSICreate/inputs.confとsample_app/inputs.confに[monitor://path]が重複することになりますが
問題ないのでしょうか?MSICreate/inputs.confの[monitor://path]は削除したほうがよいのでしょうか?

# MSICreate/inputs.conf
[monitor://C:\a.log]  <--- インストーラが自動生成
disabled = false      <--- インストーラが自動生成

# sample_app/inputs.conf
[monitor://C:\a.log]  <--- ユーザーが作成
sourcetype = hoge     <--- ユーザーが作成

よろしくお願いいたします。

0 Karma
Reply
Get Updates on the Splunk Community!

Webinar Recap | Revolutionizing IT Operations: The Transformative Power of AI and ML ...

The Transformative Power of AI and ML in Enhancing Observability   In the realm of IT operations, the ...

.conf24 | Registration Open!

Hello, hello! I come bearing good news: Registration for .conf24 is now open!   conf is Splunk’s rad annual ...

ICYMI - Check out the latest releases of Splunk Edge Processor

Splunk is pleased to announce the latest enhancements to Splunk Edge Processor.  HEC Receiver authorization ...