使用Splunk:如何限制通用转发器发送到Splunk服务器进行处理的数据量？

Question

出于安全考虑，我使用Splunk Enterprise ...

但目前在我的Splunk中有很多无关的数据。查看仪表板，我发现了许多我不需要的性能和操作状态数据。问题是我的splunk许可证允许我在24小时内分析2 2gb的数据。我要说的是，目前通过该系统的数据中有70%与安全无关，该系统是作为一个安全监控系统采购的。

我想找到一种方法来减少“转发器”发送回Splunk后端进行处理的数据量。即从分析中排除所有性能和操作数据。

我的意图是使用释放的带宽将一些防病毒和防火墙日志推送到splunk，而不是服务器性能数据。

我真的很感激在这方面能帮上忙。我已经搜索了前面的问题，但似乎找不到答案。但是，如果您知道有一个页面可以找到我的答案，请将链接发送给我:)

亲切的问候

维拉

Answer 1

听起来像是你拿了一个现成的“技术插件”，并将其作为应用程序部署在一些服务器上的splunk forwarders中？

如果是：

你会在应用程序中找到一个inputs.conf，对它进行适当的调整。

http://docs.splunk.com/Documentation/Splunk/6.5.0/Admin/Inputsconf

您可以使用disabled = true简单地禁用inputs.conf中的节

Answer 2

同样的问题已经在Splunk论坛上得到了回答：

https://answers.splunk.com/answers/444825/how-to-limit-the-amount-of-data-that-a-splunk-univ.html

对于任何其他有相同问题的人，请参阅上面链接中发布的两个答案，以及来自另一个Splunk论坛页面的this answer，以获得不同的选项。