splunk 教學網址如下
http://docs.splunk.com/Documentation/Splunk/6.2.4/admin/inputsconf
但我有照著在
C:\Program Files\Splunk\etc\system\local\inputs.conf
下進行加入
[WinEventLog:Security]
disabled = false
blacklist = 5156-5157
但我的WIM 收EVENTLOG 還是有 5156
請大大教學 謝謝
1.先確認Splunk版本為6.0以上 根據資料顯示這樣的設定方式是6.0以上才能運作
http://blogs.splunk.com/2013/10/14/windows-event-logs-in-splunk-6/
2.如果直接修改splunk的conf請記得重新啟動Splunk的服務
3.如果以上都做過了,可以嘗試舊的設定方式。透過設定props.conf和transformers.conf
進行EventID的過濾
http://blogs.splunk.com/2012/09/21/the-splunk-app-for-active-directory-and-how-i-tamed-the-security-log/
手邊沒有實際的例子,只好貼幾個連結供作參考
請試試以下
[WinEventLog://Security]
disabled = 0
blacklist=5156,5157