Universal Forwarder Windows版で特定のファイルのsourcetypeを指定したいので
props.confもしくはinputs.confにsourcetype = hogeという設定を入れようと思うのですが
設定ファイルと思われるファイルが複数あり、どこに記述すればよいのかわかりません。
Forwarderのインストーラーは$SPLUNK_HOME/etc/apps/MSICreated/local/inputs.confにモニタリングする
場所を設定しているので、そこに
[monitor://path]
disabled = false
sourcetype = hoge
と記述すれば設定できるようですが、手動でMSICreatedの設定を変更して問題ないのでしょうか?
他の場所に記述すべきなのでしょうか?
また、props.confに記述する場合は$SPLUNK_HOME/etc/system/localに記述すると思っていましたが
設定が反映されないようです。記述する場所は合っていますでしょうか?
よろしくお願いいたします。
Splunkのバージョンは5.0.3を使用しています。
Deployment Serverを立てていない場合には、
appディレクトリの下に新規にディレクトリ($SPLUNK_HOME/etc/app/sample_app/local)を作成して
inputs.conf, props.confを作成していった方が良いと思います。
├─sample_app
├─local <= このディレクトリ内にinputs.conf or props.conf を新規に作成
特定の用途別に設定ファイルやダッシュボード等のGUIパーツをひとまとめにしてあるのが、etc/apps/
http://docs.splunk.com/Documentation/Splunk/latest/Admin/Configurationfiledirectories
複数のinputs.conf等の設定の反映のされ方については、以下に記載されております。
http://docs.splunk.com/Documentation/Splunk/latest/Admin/Wheretofindtheconfigurationfiles
連投すみません。
appディレクトリの下に新規にディレクトリを作成し、設定するという発想が出てこなかったのですが、このへんの設定について参照すべきドキュメント等あれば、教えていただけますか?
Splunkを使う際にappを作成していないからapp周りの知識がないだけかもしれません
回答ありがとうございます。
この場合、MSICreate/inputs.confとsample_app/inputs.confに[monitor://path]が重複することになりますが
問題ないのでしょうか?MSICreate/inputs.confの[monitor://path]は削除したほうがよいのでしょうか?
# MSICreate/inputs.conf
[monitor://C:\a.log] <--- インストーラが自動生成
disabled = false <--- インストーラが自動生成
# sample_app/inputs.conf
[monitor://C:\a.log] <--- ユーザーが作成
sourcetype = hoge <--- ユーザーが作成
よろしくお願いいたします。