S小魚仔S 網誌搜尋

2016年9月12日 星期一

S小魚仔S 停止轉送不需要 Windows Event Log 送往 Splunk Log Server

因客戶端「Splunk Log Server」 收集過多「Windows Event Log」造成「Splunk Log Server」流量不足,修改「inputs.conf」檔案,減少不必要「Windows Event ID」送往「Splunk Log Server」。
PS 
C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf
C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf

首先我們必須要搞清楚Splunk for Forwarder Agent」運作機制。

inputs.conf」在「default」和「local」資料夾都有,執行優先權為「local」>「default」,所以我們只需要編輯「local\inputs.conf」即可,設定前還是需要看一下「default\inputs.conf」。

檢查「default\inputs.conf」不做設定

WinEventLog://Security」(Windows 安全性 Log)
disabled=1」表示「LOG不轉送
blacklist1 =EventCode="4662".....」表示不轉送「Windows Event ID=4462」,這一行語法就是我們需要的。
index = wineventlog」,預設安裝「Splunk for warder agent」就會自動帶上「索引值」。

接下來設定「local\inputs.conf



我們會看到「disabled = 0」表示「LOG 執行轉送」,在「WinEventLog://Security」(Windows 安全性 Log),下行貼上「blacklist3 =EventCode="4662"」,就可以停止轉送「Windows Event ID=4462」。
PS
local\inputs.conf」設定檔 與「default\inputs.conf」設定檔「blacklist」編號「不能重複」。


注意「default\inputs.conf」與「local\inputs.conf」會合併處理,優先權是「local\inputs.conf」先執行。

完成上述設定,重新啟動「Splunk for warder Agent」服務。

1.「cd C:\Program Files\SplunkUniversalForwarder\bin
2.「splunk restart