1: Splunk支持.zip和.tar.gz等压缩包格式,splunk会对上传的压缩包自动解压缩.
采用上传(Upload)的方式从本地导入数据
// Splunk有 上传、监视本地、来自转发三种添加数据的方式
设定路径中的段为主机名,如压缩包:/waf/secure.log,我们可以取waf为主机host名称
Splunk会自动为它们确定数据源类型(sourcetype)
创建单独的App,名为jiabao,并在该App中查看导入的数据
步骤:
2)、 开始添加数据,左上角选择刚才创建的应用。然后设置→添加数据→上载→上传刚才的文件→
3 )、在输入设置中主机名称可设置为:路径中的段,此处输入“2”表示二级目录的名称命令主机,即可我压缩包中/logs/apache/access.log,则以apache作为主机名。索引则设置我们刚才设置的索引.
上载完毕之后可以开始搜索了。
4:搜索界面
参考: Splunk大数据分析经验分享 - 呆瓜小贼66 - 博客园
