使用Splunk：如何限制通用轉發器發送到Splunk服務器進行處理的數據量？

Question

我使用Splunk Enterprise出於安全目的...

但是，此時我的Splunk中存在大量無關數據。通過儀表板查看，我發現了大量不需要的性能和運行狀態數據。問題是我的splunk許可證允許我在24小時內分析2GB的數據。我想說目前通過系統的數據中有70％不是與安全相關的，而且該系統是作爲安全監控系統採購的。

我想找到一種方法來減少「轉發器」發送回Splunk後端進行處理的數據量。即排除分析中的所有性能和操作數據。

我的意圖是釋放帶寬以推送一些反病毒和防火牆日誌來代替服務器性能數據進行分塊。

我真的很感激這方面的幫助。我查了以前的問題，但似乎無法找到答案。但是，如果你知道在哪裏可以找到我的答案頁面請給我發的鏈接:)

親切的問候

維拉

Answer 1

聽起來像是你已經採取了關閉的，現成的'技術插件'並將其作爲應用程序部署在某些服務器上的splunk轉發器中？
如果是：
您會在應用程序內部找到inputs.conf，並根據需要對其進行調整。
http://docs.splunk.com/Documentation/Splunk/6.5.0/Admin/Inputsconf

你可以簡單地禁止在inputs.conf一節與disabled = true

Answer 2

這個同樣的問題已在Splunk的論壇上回答：

https://answers.splunk.com/answers/444825/how-to-limit-the-amount-of-data-that-a-splunk-univ.html

對於其他任何人一樣問題，請參閱上面鏈接中發佈的兩個答案以及來自另一個Splunk論壇頁面的this answer，以獲取不同的選項。