Universal Forwarder no envía logs al servidor de Splunk

Hoy estuve mas tiempo del que quería instalando el Forwarder de Splunk en un nuevo servidor. Aparentemente, en algún momento entre la versión 6.1 y 6.2.1 cambiaron las configuraciones por defecto.

Al ejecutar netstat el cliente aparecía conectado al servidor, sin embargo, no se estaban recibiendo los logs de [WinEventLog://Security].

El culpable es el inputs.conf de %ProgramFiles%\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\ que ahora viene con el parámetro index = wineventlog por defecto.

Para solucionarlo solo hay que poner en %ProgramFiles%\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf, debajo de [WinEventLog://Security] el parametro index = main (o el nombre de tu índice) y reiniciar el servicio SplunkForwarder

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.