前言

Splunk支持多种多样的数据源，比如它可以直接上传文件，可以监控本地的任何目录或文件，也可以配置通用转发器等方式来完成数据接入。Splunk所有的设置都可以通过Web页面、使用Splunk CLI命令，甚至是直接修改配置文件，以此来完成设置。

那么，如何接入数据呢？我们通过两个比较常见的数据接入场景做个应用示例吧。

• • 导入离线文件：Splunk的教学测试数据 ：tutorialdata.zip
  • 收集syslog 日志 ：Linux
  • 使用通用转发器（Agent）收集数据：Windows

后续测试接入Fortinet UTM，及其他安全设备，并且用Splunk的add on插件来解析字段

一、导入离线文件

• • 选择添加数据
  • 上传来自本地计算机的文件
  • 点击选择文件按钮
  • 这里选择路径中的段，并输入1