Splunk 通用转发器是否可以用于从特定服务器中删除日志。
例如,我在运行应用程序的服务器上安装了一个通用转发器。UF 的目的是将此应用程序的日志发送到 splunk 服务器以进行监视。 但是,此应用程序存在负载问题,需要日志轮换才能到位,否则服务器将关闭。我知道有设置日志轮换的传统方法,但是Splunk UF是否可以用于从源服务器中删除日志,然后进行索引,而不仅仅是复制数据并为其编制索引?
如果你们需要进一步澄清,请告诉我。
是的。Splunk将允许您通过UF执行脚本(通常用于收集数据),但您可以使用它删除日志。
http://docs.splunk.com/Documentation/SplunkCloud/6.6.3/Data/Getdatafromscriptedinputs#Using_a_wrapper_script