日常工作使用splunk來分析數據,由於會接收到來自不同網絡設備的數據,大多由sysylog發送出來,默認端口爲udp的514端口,這樣就會造成數據類型sourcetype沒法確定,在使用過程中只能依靠host(來源ip)來判斷,如果一臺設備發送不同類型的數據,就沒辦法區分。因此需要用splunk的配置文件來指定udp:514的sourcetype。
在$HOME/etc/apps/$APP/local/props.conf文件中添加如下:
props.conf
######全局配置######
## 給udp:514區指定不同的sourcetype
## 例子中爲TOPsec防火牆
[source::udp:514]
SHOULD_LINEMERGE =false
TRANSFORMS-force_info_for_topsec= force_sourcetype_for_topsec_firewall
######TRANSFORMS ######
[force_sourcetype_for_topsec_firewall]
DEST_KEY =MetaData:Sourcetype
REGEX = fw\=TopsecOS
FORMAT =sourcetype::topsec:firewall
上訴例子爲天融信防火牆的syslog,如果是別的網絡設備需要修改正則中能指明該網絡設備的字段。
希望對大家有所幫助。