Filter
轉儲 Splunk 事件
我們設置了一個 nagios 實例,因此使用MK-Livestatus和splunk,我們能夠通過來自 splunk 的呼叫通過 livestatus 的套接字推送所有 nagios 的警報。
但是,splunk 現在正在接收數據,當有人使用應用程序搜尋其事件時,這些數據將獲得其公平份額的“OK”事件狀態。我們希望能夠刪除這些多餘的事件,這樣當有人在 Splunk 中搜尋日誌時它們就不會出現。在這種情況下,最明顯的解決方案是在使用 Splunk 探勘日誌時調整搜尋索引。但是,面對知識淵博、沒有時間和資源深入了解 splunk 的最終使用者,這是不可接受的。
話雖如此,我們需要有一種方法通過某種類型的過濾器來轉儲這些多餘的日誌。這可能包括配置 nagios、livestatus 和/或 splunk 或安裝新軟體來執行此操作,但我不知道什麼是最有效的或盡我所知的工作。
顯然,您可以從搜尋中排除某些內容,但您不想這樣做,但一旦數據被編入索引,您就無法刪除條目 - 但您可以使用 props 排除條目被轉發給索引器,認為這需要中介轉發器,如果您是“客戶端”數據不是從某種類型的 splunk 轉發器發送的(即它只是發送 syslog 或類似的)。