splunk forward转发数据时,需要配置数据【转发和接收】,forwarder会向所有配置的Enterprise发送数据。
一、Enterprise开启接收端口并创建索引
首先需要在Enterprise实例上设置接收,点击设置->转发和接收->配置接收菜单,进入配置页面。
设置需要开放的端口
二、在forward实例上进行转发配置
需要在forward实例上设置接收,点击设置->转发和接收->配置转发菜单,进入配置页面。输入Enterprise的ip和开放的端口号。
输入Enterprise的ip和开放的端口号
ps:配置文件存储位置
Splunk\etc\apps\output-prod\default\outputs.conf
Splunk\etc\system\local\outputs.conf