因客戶端「Splunk Log Server」 收集過多「Windows Event Log」造成「Splunk Log Server」流量不足,修改「inputs.conf」檔案,減少不必要「Windows Event ID」送往「Splunk Log Server」。
PS
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf」
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf」
PS
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf」
「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf」
首先我們必須要搞清楚「Splunk for Forwarder Agent」運作機制。
「inputs.conf」在「default」和「local」資料夾都有,執行優先權為「local」>「default」,所以我們只需要編輯「local\inputs.conf」即可,設定前還是需要看一下「default\inputs.conf」。
檢查「default\inputs.conf」不做設定
「WinEventLog://Security」(Windows 安全性 Log)
「disabled=1」表示「LOG不轉送」
「blacklist1 =EventCode="4662".....」表示不轉送「Windows Event ID=4462」,這一行語法就是我們需要的。
「index = wineventlog」,預設安裝「Splunk for warder agent」就會自動帶上「索引值」。
接下來設定「local\inputs.conf」
我們會看到「disabled = 0」表示「LOG 執行轉送」,在「WinEventLog://Security」(Windows 安全性 Log),下行貼上「blacklist3 =EventCode="4662"」,就可以停止轉送「Windows Event ID=4462」。
PS
「local\inputs.conf」設定檔 與「default\inputs.conf」設定檔「blacklist」編號「不能重複」。
注意「default\inputs.conf」與「local\inputs.conf」會合併處理,優先權是「local\inputs.conf」先執行。
完成上述設定,重新啟動「Splunk for warder Agent」服務。
1.「cd C:\Program Files\SplunkUniversalForwarder\bin」
2.「splunk restart」