O "monitor" do Splunk só pode ler arquivos que estão na máquina em que ele está rodando (ou em unidades montadas na rede que podem ser lidas da máquina em que ele está sendo executado). O campo "host" pode fazer com que pareça que pode ler de outra máquina, mas está lá para identificar de qual computador o arquivo veio, não para se conectar a um host remoto. Esta página tem várias idéias para configurar o Splunk em uma rede. Parece que rodar o Splunk em cada máquina e fazer com que eles encaminhem os logs para o indexador central é a "melhor prática", já que lhe dá acesso a arquivos de log não controlados pelo syslog (por exemplo, logs do apache) e os sistemas locais do Splunk dados se o servidor principal do Splunk ficar inativo. Caso contrário, se você for usar o syslog, esta página fornece algumas instruções sobre como configurar o syslog-ng em janelas para receber as mensagens do syslog, então configure o Splunk para ler do syslog-ng.