Splunk 6: "Невозможно выполнить предварительный просмотр в этом экземпляре Splunk"

Question

Splunk 6: "Невозможно выполнить предварительный просмотр в этом экземпляре Splunk"

У меня есть распределенная среда Splunk 6, с которой я работаю через установку нового технологического дополнения. На моем экспедиторе я пытаюсь добавить новый Data Input... Settings > Data inputs > Files & directories > New затем выберите мой файл и нажмите Далее... на Set Sourcetype Пейдж сообщение "Cannot preview on this Splunk instance"появляется.

У меня есть множество других Data Input настройте таким же образом и даже другой файл из того же каталога, что и этот файл, который выдает сообщение. Этот каталог является локальным для Linux-бокса, в который включен файл fowarder, и я уже проверил права доступа к файлу.

Все еще полностью мокрый за ушами со Splunk и застрял устранение неполадок этой проблемы.

Ваша помощь приветствуется.

Благодарю.

1

splunk

Источник

user1801810 28 авг '15 в 18:24

1 ответ

Другие вопросы по тегам splunk

NetZ 28 авг '15 в 22:00 2015-08-28 22:00 · Answer 1 · 2015-08-28 22:00

Как я понимаю, ваш сервер пересылки работает под Linux, почему бы вам не добавить файлы поиска с помощью интерфейса командной строки?

спленк добавить монитор

Вы можете указать тип источника и индекс, посмотрите на эту ссылку: http://docs.splunk.com/Documentation/Splunk/6.2.5/Data/MonitorfilesanddirectoriesusingtheCLI

Вы используете графический интерфейс на серверах пересылки? Используете универсальный экспедитор или тяжелый форвардер?

Надеюсь, что это работает!!