splunk.es.splunk_data_inputs_monitor 模块 – Splunk 监视器类型数据输入资源模块

注意

此模块是 splunk.es 集合(版本 4.0.0)的一部分。

如果您使用的是 ansible 包,您可能已经安装了这个集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install splunk.es

要在 playbook 中使用它,请指定:splunk.es.splunk_data_inputs_monitor

splunk.es 2.1.0 中的新增功能

概要

  • 用于在 Splunk 中添加/修改或删除文件和目录监视器数据输入的模块。

  • 已针对 Splunk Enterprise Server 8.2.3 进行测试

注意

此模块具有对应的 操作插件

参数

参数

注释

config

list / elements=dictionary

配置系统上的文件和目录监视

blacklist

string

指定文件路径的正则表达式。与此正则表达式匹配的文件路径不会被索引。

check_index

boolean

如果设置为 true,则会检查索引值,以确保它是有效索引的名称。

此参数在获取对象信息时不会被 Splunk 返回。因此,在执行幂等性检查时会将其排除在外

选项

  • false

  • true

check_path

boolean

如果设置为 true,则会检查名称值,以确保它存在。

此参数在获取对象信息时不会被 Splunk 返回。因此,在执行幂等性检查时会将其排除在外

选项

  • false

  • true

crc_salt

string

一个字符串,用于修改此输入中文件的文件跟踪标识。魔法值 <SOURCE> 会调用特殊行为(请参阅管理文档)。

disabled

boolean

指示是否禁用输入监视。

选项

  • false ←(默认)

  • true

follow_tail

boolean

如果设置为 true,则首次看到的文件将从末尾开始读取。

选项

  • false

  • true

host

string

用于填充来自此数据输入的事件的主机字段的值。

默认值: "$decideOnStartup"

host_regex

string

指定文件路径的正则表达式。如果文件的路径与此正则表达式匹配,则捕获的值将用于填充来自此数据输入的事件的主机字段。正则表达式必须有一个捕获组。

host_segment

integer

使用文件路径中指定的斜杠分隔的段作为主机字段值。

ignore_older_than

string

指定一个时间值。如果被监视的文件的修改时间在此滚动时间窗口之外,则不再监视该文件。

此参数在获取对象信息时不会被 Splunk 返回。因此,在执行幂等性检查时会将其排除在外

index

string

来自此输入的事件应存储在哪个索引中。默认为 default。

默认值: "default"

name

string / required

要在系统上监视的文件或目录路径。

recursive

boolean

将其设置为 False 会阻止监视此数据输入中遇到的任何子目录。

选项

  • false

  • true

rename_source

string

用于填充来自此数据输入的事件的源字段的值。同一个源不应被多个数据输入使用。

此参数在获取对象信息时不会被 Splunk 返回。因此,在执行幂等性检查时会将其排除在外

sourcetype

string

用于填充传入事件的 sourcetype 字段的值。

time_before_close

integer

当 Splunk 软件到达正在读取的文件的末尾时,该文件将保持打开状态,至少保持在此值中指定的秒数。此时间段过后,将再次检查该文件是否有更多数据。

此参数在获取对象信息时不会被 Splunk 返回。因此,在执行幂等性检查时会将其排除在外

whitelist

string

指定文件路径的正则表达式。只索引与此正则表达式匹配的文件路径。

running_config

string

默认情况下,该模块将连接到远程设备并检索当前运行配置,以用作与源内容进行比较的基础。有时,不希望任务在 playbook 中的每个任务都获取当前运行配置。running_config 参数允许实施者传入配置以用作比较的基础配置。此选项的值应该是通过执行命令从设备接收到的输出。

state

string

配置应保留的状态

选项

  • "merged" ←(默认)

  • "replaced"

  • "deleted"

  • "gathered"

示例

# Using gathered
# --------------

- name: Gather config for specified Data inputs monitors
  splunk.es.splunk_data_inputs_monitor:
    config:
      - name: "/var/log"
      - name: "/var"
    state: gathered

# RUN output:
# -----------

# "gathered": [
#     {
#         "blacklist": "//var/log/[a-z0-9]/gm",
#         "crc_salt": "<SOURCE>",
#         "disabled": false,
#         "host": "$decideOnStartup",
#         "host_regex": "/(test_host)/gm",
#         "host_segment": 3,
#         "index": "default",
#         "name": "/var/log",
#         "recursive": true,
#         "sourcetype": "test_source",
#         "whitelist": "//var/log/[0-9]/gm"
#     }
# ]
#

# Using merged
# ------------

- name: Update Data inputs monitors config
  splunk.es.splunk_data_inputs_monitor:
    config:
      - name: "/var/log"
        blacklist: "//var/log/[a-z]/gm"
        check_index: true
        check_path: true
        crc_salt: <SOURCE>
        rename_source: "test"
        whitelist: "//var/log/[0-9]/gm"
    state: merged

# RUN output:
# -----------

# "after": [
#     {
#         "blacklist": "//var/log/[a-z]/gm",
#         "crc_salt": "<SOURCE>",
#         "disabled": false,
#         "host": "$decideOnStartup",
#         "host_regex": "/(test_host)/gm",
#         "host_segment": 3,
#         "index": "default",
#         "name": "/var/log",
#         "recursive": true,
#         "sourcetype": "test_source",
#         "whitelist": "//var/log/[0-9]/gm"
#     }
# ],
# "before": [
#     {
#         "blacklist": "//var/log/[a-z0-9]/gm",
#         "crc_salt": "<SOURCE>",
#         "disabled": false,
#         "host": "$decideOnStartup",
#         "host_regex": "/(test_host)/gm",
#         "host_segment": 3,
#         "index": "default",
#         "name": "/var/log",
#         "recursive": true,
#         "sourcetype": "test_source",
#         "whitelist": "//var/log/[0-9]/gm"
#     }
# ],

# Using replaced
# --------------

- name: To Replace Data inputs monitors config
  splunk.es.splunk_data_inputs_monitor:
    config:
      - name: "/var/log"
        blacklist: "//var/log/[a-z0-9]/gm"
        crc_salt: <SOURCE>
        index: default
    state: replaced

# RUN output:
# -----------

# "after": [
#     {
#         "blacklist": "//var/log/[a-z0-9]/gm",
#         "crc_salt": "<SOURCE>",
#         "disabled": false,
#         "host": "$decideOnStartup",
#         "index": "default",
#         "name": "/var/log"
#     }
# ],
# "before": [
#     {
#         "blacklist": "//var/log/[a-z0-9]/gm",
#         "crc_salt": "<SOURCE>",
#         "disabled": false,
#         "host": "$decideOnStartup",
#         "host_regex": "/(test_host)/gm",
#         "host_segment": 3,
#         "index": "default",
#         "name": "/var/log",
#         "recursive": true,
#         "sourcetype": "test_source",
#         "whitelist": "//var/log/[0-9]/gm"
#     }
# ],

# Using deleted
# -----------
- name: To Delete Data inpur monitor config
  splunk.es.splunk_data_inputs_monitor:
    config:
      - name: "/var/log"
    state: deleted

# RUN output:
# -----------
#
# "after": [],
# "before": [
#     {
#         "blacklist": "//var/log/[a-z0-9]/gm",
#         "crc_salt": "<SOURCE>",
#         "disabled": false,
#         "host": "$decideOnStartup",
#         "index": "default",
#         "name": "/var/log"
#     }
# ],

返回值

常见的返回值记录在此处,以下是此模块独有的字段

描述

after

list / elements=string

模块完成后,配置作为结构化数据。

返回:当发生更改时

示例: ["返回的配置将始终与上述参数的格式相同。"]

before

list / elements=string

模块调用之前,配置作为结构化数据。

返回:始终

示例: ["返回的配置将始终与上述参数的格式相同。"]

作者