วิธีการตั้งค่าส่ง Log ไปยัง splunk สำหรับเครื่องที่ใช้ syslog หรือ rsyslog

Splunk เปิดรับ syslog ด้วย port UDP 514 เอาไว้ สามารถส่ง syslog เข้า splunk ได้โดยตรงโดยการ
config มี pattern ดังนี้
Facility.Severity @IPAddress
Facility คือ ประเภทของ log
Severity คือ ระดับของ log
IPAddress คือ IP ของ splunk (e.g. 192.168.x.x)
มีขั้นตอนดังนี้
1. เข้าไปแก้ไขไฟล์ /etc/syslog.conf (สำหรับเครื่องที่ใช้ syslog) หรือ /etc/rsyslog.conf (สำหรับ
เครื่องที่ใช้ rsyslog) เพิ่มบรรทัดดังนี้
*.info @192.168.x.x
2. ทำการ restart syslog
/etc/init.d/syslog restart (สำหรับเครื่องที่ใช้ syslog)
/etc/init.d/rsyslog restart (สำหรับเครื่องที่ใช้ rsyslog)