Você pode indexar o diretório inteiro ou usar curingas para selecionar os arquivos apropriados.
No seu caso, [monitor://var/logs/catalina.*.log] deve funcionar corretamente.
O nome do arquivo de log atual que eu tenho é: catalina.2010-02-24.log.
Eu quero adicionar isso para indexação de splunk, mas estou com problemas, já que não há nome de arquivo estático, já que o tomcat do dia-a-dia renomeia o arquivo de log.
[tail: ///var/logs/catalina.2010-02-24.log] não vai funcionar. Existe uma maneira de contornar este problema
Você pode adicionar um script que seja executado como uma tarefa cron diária que faça o link simbólico do arquivo com base na data para catalina.current.log ou algo assim.
Exemplo:
ln -sf /var/logs/catalina.'date +%Y-%m-%d'.log /var/logs/catalina.current.log
Então, é claro, use apenas catalina.current.log para acessar o registro do dia atual.
Tags splunk