oracle - 如何将数据库日志摄取到 splunk?我只需要将日志记录为 Warning 、 Error 、 Critical 、 ORA-* 日志。任何样品道具更改将不胜感激
问题描述
我有主机详细信息列表和日志目录。我需要获取日志以将关键字摄取到以下列表中的 splunk 警告、错误、关键、ORA-* 日志中
解决方案
试图将其分解为主要步骤。也许已经遵循了一些步骤,但只是滚动浏览。
主机需要安装通用转发器并将数据发送到您的索引层。
您需要在转发器上创建一个应用程序并添加一个 inputs.conf $SPLUNK_HOME$/etc/apps/your_app/local/inputs.conf
[monitor:///var/log/my_app/oracle.log]
disabled = 0
index = oracle
sourcetype = your_sourcetype
- 在索引器上,您需要一个应用程序来仅过滤您需要的日志行。将 props/transforms 文件放在一个类似命名的应用程序中
$SPLUNK_HOME$/etc/apps/your_app/local/props.conf
$SPLUNK_HOME$/etc/apps/your_app/local/transforms.conf
道具.conf
[your_sourcetype]
TRANSFORMS-set = setnull, setparsing
转换.conf
# This sends all events to be ignored
[setnull]
REGEX = .
DEST_KEY = queue
FORMAT = nullQueue
# this says ignore all events, except the ones containing ERROR
[setparsing]
REGEX = Error|Warning|ORA-\d{0,5}|Critical
DEST_KEY = queue
FORMAT = indexQueue
[your_sourcetype1]
TRANSFORMS-set = setnull, setparsing
[your_souretype2]
TRANSFORMS-set = setnull, setparsing
- 最后但同样重要的是,不要忘记在转发器和索引器上重新启动 splunk
推荐阅读
- node.js - 如何在 node.js (openweathermap.api) 中呈现 html 格式
- typescript - 有意`export {}` 关闭 TypeScript 模块声明中所有符号的自动导出?
- java - Vaadin 8 alpha/beta 预发布失败,出现“不可解析的导入 POM:找不到”错误
- ios - (Swift) UIImageView 不显示/不可见
- python - Django - 是否可以在 Count() 中执行查询集
- sql - SQL Server:按周分组格式 W 22/09 - 28/09
- javascript - 注入网站的无限循环冻结 javascript 加载
- python - 带有`loc`的熊猫布尔选择并不总是更快?
- apache - 关于 Apache httpd.conf 和应用服务器 aaa.conf 端口 80 和 443
- php - 在laravel中根据父级的父级数据添加条件