splunk.es.data_input_monitor 模块 – 管理类型为 Monitor 的 Splunk 数据输入

注意

此模块是 splunk.es 集合 (版本 4.0.0) 的一部分。

如果您正在使用 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install splunk.es

要在 playbook 中使用它,请指定: splunk.es.data_input_monitor

splunk.es 1.0.0 中的新增功能

已弃用

将在以下版本中移除:

2024-09-01 后的主要版本

原因:

发布了具有更多功能的更新的模块。

替代方案:

splunk_data_inputs_monitor

概要

  • 此模块允许在 Splunk 中添加或删除文件和目录监控数据输入。

别名:splunk_data_input_monitor

参数

参数

注释

blacklist

字符串

指定文件路径的正则表达式。与该正则表达式匹配的文件路径不会被索引。

check_index

布尔值

如果设置为 true,则会检查索引值以确保它是有效索引的名称。

选项

  • false ← (默认)

  • true

check_path

布尔值

如果设置为 true,则会检查 name 值以确保其存在。

选项

  • false

  • true

crc_salt

字符串

修改此输入中文件的跟踪标识的字符串。魔法值 <SOURCE> 会调用特殊行为(请参见管理员文档)。

disabled

布尔值

指示输入监控是否已禁用。

选项

  • false ← (默认)

  • true

followTail

布尔值

如果设置为 true,则首次看到的文件将从结尾读取。

选项

  • false ← (默认)

  • true

host

字符串

为来自此数据输入的事件填充 host 字段的值。

host_regex

字符串

指定文件路径的正则表达式。如果文件的路径与该正则表达式匹配,则捕获的值将用于填充来自此数据输入的事件的 host 字段。正则表达式必须有一个捕获组。

host_segment

整数

使用文件路径的指定斜杠分隔段作为 host 字段的值。

ignore_older_than

字符串

指定一个时间值。如果正在监控的文件的修改时间落在该滚动时间窗口之外,则不再监控该文件。

index

字符串

来自此输入的事件应存储在哪个索引中。默认为 default。

name

字符串 / 必填

要监控的系统上的文件或目录路径。

recursive

布尔值

将其设置为 false 可防止监控在此数据输入中遇到的任何子目录。

选项

  • false ← (默认)

  • true

rename_source

字符串

为来自此数据输入的事件填充 source 字段的值。相同的 source 不应用于多个数据输入。

sourcetype

字符串

为传入事件填充 sourcetype 字段的值。

state

字符串 / 必填

添加或删除数据源。

选项

  • "present"

  • "absent"

time_before_close

整数

当 Splunk 软件到达正在读取的文件的末尾时,该文件将至少保持打开指定秒数。此时间段过后,将再次检查该文件以获取更多数据。

whitelist

字符串

指定文件路径的正则表达式。仅索引与该正则表达式匹配的文件路径。

示例

- name: Example adding data input monitor with splunk.es.data_input_monitor
  splunk.es.data_input_monitor:
    name: "/var/log/example.log"
    state: "present"
    recursive: true

状态

  • 此模块将在 2024-09-01 后的主要版本中删除。[已弃用]

  • 有关更多信息,请参阅 已弃用

作者