Monitor-Stanzas mit regulären Ausdrücken

Monitor-Stanzas mit regulären Ausdrücken

Juni 14, 2023

Wir empfehlen dir, das begleitende YouTube-Video „Monitor-Stanzas mit regulären Ausdrücken – Splunk in 5 Minuten“ anzusehen, um visuelle Beispiele und eine detailliertere Erklärung zu erhalten.

Einführung in Monitor-Stanzas

In diesem Blogbeitrag zeigen wir dir, wie du reguläre Ausdrücke in Monitor-Stanzas verwenden kannst, um Dateien oder Verzeichnisse zu überwachen. Wir werden dir anhand verschiedener Beispiele demonstrieren, wie du komplexe Eingaben definieren kannst und diese für deine Zwecke nutzen kannst. So kannst du genau die Informationen überwachen, die dir wichtig sind.

Im folgenden Beispiel zeigen wir dir, wie du Dateien mithilfe der „inputs.conf“ einlesen kannst:

Copy to Clipboard

Der Stanza selbst enthält den absoluten Pfad zur Datei oder zum Verzeichnis, welches wir überwachen wollen. Alle weiteren Parameter (Sourcetype, Host, Index, usw.) sind optional.

Wenn diese nicht angegeben sind, werden dafür Standardwerte verwendet:

  • Standard-Host wie in etc/system/local/inputs.conf
  • Standard-Source ist der vollständige Dateiname (wenn nur der Pfad angegeben ist, wird der gesamte Pfad zusammen mit dem Dateinamen als Source verwendet)
  • Standard-Sourcetype ist „automatisch“

Verwendung von Wildcards in Monitor-Stanzas

Die Monitor-Stanzas in der inputs.conf unterstützen zwei verschiedene Platzhalter:

Drei Punkte (…): Die Verwendung der drei Punkte in der Monitor-Stanza ermöglicht es, alle Unterverzeichnisse rekursiv nach Treffern zu durchsuchen. Wenn du die drei Punkte in den Dateipfad einfügst, werden alle Unterverzeichnisse automatisch von Splunk durchsucht, um entsprechende Dateien zu finden

Sternchen (*): Das Sternchen markiert entweder ein einzelnes Pfadsegment (nicht rekursiv) oder Teile von Zeichenketten im Pfadsegment oder Dateiname.

Beispiele für Wildcards

In der folgenden Abbildung siehst du ein Beispiel für Wildcards:

Monitoring von Dateien im Verzeichnis www1, deren Name mit secure beginnt, mit beliebiger Endung

Copy to Clipboard

Das trifft die folgenden Dateien:

Copy to Clipboard

Aber nicht diese Dateien: 

Copy to Clipboard

In der folgenden Abbildung findest du ein Beispiel mit einer rekursiven Wildcard:

Monitoring von mehreren Verzeichnissen mit der rekursiven Wildcard:

Copy to Clipboard

Das trifft die folgenden Dateien:

Copy to Clipboard

Reguläre Ausdrücke in Monitor-Stanzas

Es ist auch möglich, Wildcards zusammen mit regulären Ausrücken in der Stanza zu verwenden.

Wir können also beispielweise hier eine Monitoring-Stanza definieren:

Copy to Clipboard

In den eckigen Klammern [A-Z0-9] werden die Zeichen definiert, die erlaubt sind, nämlich A bis Z und 0 bis 9. Das anschließende Sternchen (*) gibt an, dass diese Zeichenkombination beliebig oft vorkommen können. Die Interpretation des Sternchens erfolgt hier anders, da ihm und dem vorherigen Ausdruck bereits eine Wildcard vorangestellt ist.

Beispielhaft siehst du hier Dateien auf die das zutrifft und Dateien auf die das nicht zutrifft:

Trifft auf die Dateien:

Wir können also beispielweise hier eine Monitoring-Stanza definieren:

Copy to Clipboard

Aber nicht diese Dateien:

Copy to Clipboard

Fazit

Durch die Nutzung von Monitor-Stanzas mit regulären Ausdrücken kannst du komplexere Inputs definieren.

Wir empfehlen dir, das begleitende YouTube-Video „Monitor-Stanzas mit regulären Ausdrücken – Splunk in 5 Minuten“ anzusehen, um visuelle Beispiele und eine detailliertere Erklärung zu erhalten.

Leave A Comment

Diese Seite ist durch reCAPTCHA und Google geschützt Datenschutz-Bestimmungen und Nutzungsbedingungen anwenden.

Der Zeitraum für die reCAPTCHA-Überprüfung ist abgelaufen. Bitte laden Sie die Seite neu.