Eu tenho um ambiente distribuído do Splunk 6 com o qual estou trabalhando na instalação de um novo Add-on de Tecnologia. No meu encaminhador, estou tentando adicionar um novo Data Input ... Settings > Data inputs > Files & directories > New , em seguida, selecione meu arquivo e clique em Avançar ... na página Set Sourcetype , a mensagem " Cannot preview on this Splunk instance " será exibida.
Eu tenho vários outros Data Input configurados da mesma maneira e até mesmo outro arquivo do mesmo diretório que este arquivo que está enviando a mensagem. O diretório é local para a caixa do Linux em que o fowarder está e eu já verifiquei as permissões no arquivo.
Ainda completamente molhado atrás das orelhas com o Splunk e preso resolvendo esse problema.
Sua ajuda é apreciada.
Obrigado.
Seu redirecionamento está sob o Linux, como eu entendo, por que você não adiciona arquivos de pesquisa usando o CLI?
splunk add monitor
Você pode especificar o tipo de fonte e o índice, veja esta referência: link
Você está usando GUI em encaminhadores? Usando forwarder universal ou forwarder pesado?
Espero que funcione !!
Tags splunk