splunkers!
Заявление о проблеме
- В моих журналах есть записи INFO, WARNING и DEBUG. Записи журнала DEBUG содержат информацию о клиенте, которую я не хотел бы раскрывать более широкой аудитории.
- Я хочу, чтобы некоторые конкретные пользователи в команде имели доступ к журналам с этими записями журнала DEBUG. Другие не должны иметь к нему доступ.
Мое решение
Создайте 2 индекса. 'index-normal' и 'index-debug'.
- Have roles and users created so that the access to these indexers is provided accordingly. Easy. Can be managed!
- На сервере пересылки у меня есть 2 сегмента, каждый из которых соответствует индексации одного и того же журнала в другой индекс. Обратите внимание, что я пытаюсь обойти props.conf и transforms.conf в индексаторе, используя queue = indexQueue в одном из разделов.
[monitor: ///mypath/abc.log] disabled = false index = index-normal sourcetype = mysourcetype
[monitor: ///mypath/abc.log] disabled = false index = index-debug sourcetype = mysourcetype queue = indexQueue
С приведенной выше конфигурацией я пытаюсь дважды проиндексировать один и тот же файл и отправить их в два отдельных индекса. Один (index) проходит через конфигурации props.conf и transforms.conf в индексаторе, а другой (index-debug) в обход его.
В индексаторе я удаляю журналы записей журнала, в которых есть строка DEBUG.
props.conf [mysourcetype] TRANSFORMS-null = setnull NO_BINARY_CHECK = 1 pulldown_type = 1
transforms.conf: [setnull] REGEX = DEBUG DEST_KEY = очередь FORMAT = nullQueue
Излишне говорить, что это не работает.
Вопросы. Это лучший способ справиться с этой ситуацией? Я пытаюсь дважды проиндексировать один и тот же журнал (и, возможно, этого не происходит). Есть ли лучший подход с использованием некоторой логики в конце индексатора? - Если нужно использовать такой подход, в чем я ошибаюсь?
Спасибо!