Wir empfehlen dir, das begleitende YouTube-Video „Monitor-Stanzas mit regulären Ausdrücken – Splunk in 5 Minuten“ anzusehen, um visuelle Beispiele und eine detailliertere Erklärung zu erhalten.
Einführung in Monitor-Stanzas
In diesem Blogbeitrag zeigen wir dir, wie du reguläre Ausdrücke in Monitor-Stanzas verwenden kannst, um Dateien oder Verzeichnisse zu überwachen. Wir werden dir anhand verschiedener Beispiele demonstrieren, wie du komplexe Eingaben definieren kannst und diese für deine Zwecke nutzen kannst. So kannst du genau die Informationen überwachen, die dir wichtig sind.
Im folgenden Beispiel zeigen wir dir, wie du Dateien mithilfe der „inputs.conf“ einlesen kannst:
Der Stanza selbst enthält den absoluten Pfad zur Datei oder zum Verzeichnis, welches wir überwachen wollen. Alle weiteren Parameter (Sourcetype, Host, Index, usw.) sind optional.
Wenn diese nicht angegeben sind, werden dafür Standardwerte verwendet:
- Standard-Host wie in etc/system/local/inputs.conf
- Standard-Source ist der vollständige Dateiname (wenn nur der Pfad angegeben ist, wird der gesamte Pfad zusammen mit dem Dateinamen als Source verwendet)
- Standard-Sourcetype ist „automatisch“
Verwendung von Wildcards in Monitor-Stanzas
Die Monitor-Stanzas in der inputs.conf unterstützen zwei verschiedene Platzhalter:
Drei Punkte (…): Die Verwendung der drei Punkte in der Monitor-Stanza ermöglicht es, alle Unterverzeichnisse rekursiv nach Treffern zu durchsuchen. Wenn du die drei Punkte in den Dateipfad einfügst, werden alle Unterverzeichnisse automatisch von Splunk durchsucht, um entsprechende Dateien zu finden
Sternchen (*): Das Sternchen markiert entweder ein einzelnes Pfadsegment (nicht rekursiv) oder Teile von Zeichenketten im Pfadsegment oder Dateiname.
Beispiele für Wildcards
In der folgenden Abbildung siehst du ein Beispiel für Wildcards:
Monitoring von Dateien im Verzeichnis www1, deren Name mit secure beginnt, mit beliebiger Endung
Das trifft die folgenden Dateien:
Aber nicht diese Dateien:
In der folgenden Abbildung findest du ein Beispiel mit einer rekursiven Wildcard:
Monitoring von mehreren Verzeichnissen mit der rekursiven Wildcard:
Das trifft die folgenden Dateien:
Reguläre Ausdrücke in Monitor-Stanzas
Es ist auch möglich, Wildcards zusammen mit regulären Ausrücken in der Stanza zu verwenden.
Wir können also beispielweise hier eine Monitoring-Stanza definieren:
In den eckigen Klammern [A-Z0-9] werden die Zeichen definiert, die erlaubt sind, nämlich A bis Z und 0 bis 9. Das anschließende Sternchen (*) gibt an, dass diese Zeichenkombination beliebig oft vorkommen können. Die Interpretation des Sternchens erfolgt hier anders, da ihm und dem vorherigen Ausdruck bereits eine Wildcard vorangestellt ist.
Beispielhaft siehst du hier Dateien auf die das zutrifft und Dateien auf die das nicht zutrifft:
Trifft auf die Dateien:
Wir können also beispielweise hier eine Monitoring-Stanza definieren:
Aber nicht diese Dateien:
Fazit
Durch die Nutzung von Monitor-Stanzas mit regulären Ausdrücken kannst du komplexere Inputs definieren.
Wir empfehlen dir, das begleitende YouTube-Video „Monitor-Stanzas mit regulären Ausdrücken – Splunk in 5 Minuten“ anzusehen, um visuelle Beispiele und eine detailliertere Erklärung zu erhalten.