本教程主要是介绍利用Splunk Forwarder来监视并转发主机文件系统更改的Log。
首先要在装有Splunk的主机上,利用Web splunk添加一个索引,本教程添加的索引名为change。 在需要监视的主机上安装Splunk Forwarder。
Splunk Forwarder安装并配置教程: https://docs.splunk.com/Documentation/Forwarder/8.0.4/Forwarder/HowtoforwarddatatoSplunkEnterprise 完成后,根据路径C:\Program Files\SplunkUniversalForwarder\etc\system\local打开配置文件inputs.conf,添加如下内容:
[fschange:C:\change] pollPeriod = 60 #generate audit events into the audit index, instead of fschange events signedaudit=false recurse=true followLinks=false hashMaxSize=2000000 fullEvent=false sendEventMaxSize=-1 filesPerDelay = 10 delayInMills = 100 index=change下面来具体介绍这些属性
[fschange:C:\change] #C:\change为要监视的文件路径,可根据情况自行修改 pollPeriod = 60 #每60秒检查一次此目录是否有更改 signedaudit=false #true为使用_audit索引,false要自行设置索引 recurse=true #是否递归目录中所有文件,true为递归目录中的所有文件,false为只有指定的当前目录下 followLinks=false #是否遵循符号链接,true为跟随 hashMaxSize=2000000 #设置计算Hash码的文件大小范围(字节为单位),-1为不计算Hash码 fullEvent=false #检测到添加或更新更改,则发送完整事件 sendEventMaxSize=-1 #发送完整事件的最大事件限制,-1为无限 filesPerDelay = 10 #注入文件delayInMills处理后指定的延迟 delayInMills = 100 #处理每个文件后要使用的延迟时间 index=change #自行设置索引 #sourcetype:signedaudit=true则为audittrail,signedaudit=false则为fs_notification配置文件完成后,保存并关闭,重启Splunk Forwarder服务。
在指定需要监控的目录下添加或删除文件,如C:\change下添加test.txt,打开Splunk的search,输入index=change,如有时间产生则为成功,如下图:
