我有一个分布式 Splunk 6 环境,我正在使用该环境安装新的技术插件。在我的转发器上,我正在尝试添加一个新的Data Input... Settings> Data inputs> Files & directories>New然后选择我的文件并单击Set Sourcetype页面上的下一步...,出现消息“ Cannot preview on this Splunk instance”。
我Data Input以相同的方式设置了许多其他文件,甚至还有与抛出消息的该文件位于同一目录中的另一个文件。该目录是 fowarder 所在的 Linux 机器的本地目录,并且我已经验证了该文件的权限。
使用 Splunk 仍然完全弄湿了耳朵,并且无法解决此问题。
感谢您的帮助。
谢谢。
据我了解,您的转发器在 Linux 下,您为什么不使用 CLI 添加查找文件?
您可以指定源类型和索引,请查看此参考: http ://docs.splunk.com/Documentation/Splunk/6.2.5/Data/MonitorfilesanddirectoriesusingtheCLI
您在转发器上使用 GUI 吗?使用通用转发器还是重型转发器?
希望它有效!