本教程主要是介紹利用splunk forwarder來監視並**主機檔案系統更改的log。
首先要在裝有splunk的主機上,利用web splunk新增乙個索引,本教程新增的索引名為change。
在需要監視的主機上安裝splunk forwarder。
splunk forwarder安裝並配置教程:
完成後,根據路徑c:\program files\splunkuniversalforwarder\etc\system\local開啟配置檔案inputs.conf,新增如下內容:
[fschange:c:\change]
pollperiod = 60
#generate audit events into the audit index, instead of fschange events
signedaudit=false
recurse=true
followlinks=false
hashmaxsize=2000000
fullevent=false
sendeventmaxsize=-1
filesperdelay = 10
delayinmills = 100
index=change
[fschange:c:\change] #c:\change為要監視的檔案路徑,可根據情況自行修改
pollperiod = 60 #每60秒檢查一次此目錄是否有更改
signedaudit=false #true為使用_audit索引,false要自行設定索引
recurse=true #是否遞迴目錄中所有檔案,true為遞迴目錄中的所有檔案,false為只有指定的當前目錄下
followlinks=false #是否遵循符號鏈結,true為跟隨
hashmaxsize=2000000 #設定計算hash碼的檔案大小範圍(位元組為單位),-1為不計算hash碼
fullevent=false #檢測到新增或更新更改,則傳送完整事件
sendeventmaxsize=-1 #傳送完整事件的最大事件限制,-1為無限
filesperdelay = 10 #注入檔案delayinmills處理後指定的延遲
delayinmills = 100 #處理每個檔案後要使用的延遲時間
index=change #自行設定索引
#sourcetype:signedaudit=true則為audittrail,signedaudit=false則為fs_notification
在指定需要監控的目錄下新增或刪除檔案,如c:\change下新增test.txt,開啟splunk的search,輸入index=change,如有時間產生則為成功,如下圖:
C 監視檔案系統如此簡單
using system using system.collections.generic using system.text using system.security.permissions using system.io using system.diagnostics namespace f...
檔案系統 檔案系統的架構
vfs是具體檔案系統的抽象,依靠超級塊 inode dentry以及檔案這些結構來發揮作用,檔案系統的架構就體現在這些結構的使用方式中。1 超級塊作用分析 1 2 所有的dentry都指向乙個dentry hashtable dentry hashtable是乙個樹組,每乙個樹組成員都是hash鍊錶...
FatFs 檔案系統 ffconf h的配置
define use strfunc 1 啟用字串函式,但是不進行lf crlf轉換的。define use mkfs 1 啟用 1 f mkfs功能。在邏輯驅動器上建立fat卷 define use fastseek 1 啟用 1 快速查詢功能可啟用f lseek,f read和f write功能...