Splunk：TCP 端口数据输入未出现在搜索数据源中

Question

所以问题归结为 -

1. 使用 nc 将我的 $ python script.py 的输出重定向到 TCP 端口。
2. 捕获远程监听端口的数据。
3. 现在，当我使用 nc 远程监听此端口号的流时，数据已正确重定向。
4. 当我添加到数据输入以侦听 Splunk 中的端口时，我没有收到任何数据（没有来自龙卷风的系统日志或日志）。
5. 此外，当我点击 Splunk 中的搜索选项卡（所有可视化）时，数据源中没有添加任何内容。
6. 当我使用一个文件并使用 nc 将端口输出重定向到该文件，然后使用该文件作为 Splunk 的源时，它工作得很好。

现在，根据第 6 点，我可以通过将日志冗余地存储在临时文件和 Splunk 中来获得结果，但这是不需要的。根据第 4 点，当 Splunk 侦听我的 TCP 端口时，我的数据不会直接显示。

请帮忙。

Answer 1

所以，问题是 - 当 nc 本身在 splunk 计算机上侦听端口号时，它并不作为 splunk 本身的数据源。这当然是有道理的，因为数据在到达 splunk 之前就会丢失给 nc。

这表明 splunk 中存在可以纠正的漏洞。他们确实指出了繁忙的端口，但他们也应该将我们的多个侦听器指向该端口。

我的问题结束了。