使用 Splunk：如何限制通用转发器发送到 Splunk 服务器进行处理的数据量？

Question

出于安全目的，我正在使用 Splunk Enterprise...

但目前我的 Splunk 中有很多无关数据。查看仪表板，我发现了很多我不需要的性能和操作状态数据。问题是我的 splunk 许可证允许我在 24 小时内分析 2gb 的数据。我想说的是，目前通过该系统的 70% 的数据与安全无关，并且该系统是作为安全监控系统采购的。

我想找到一种方法来减少“转发器”发送回 Splunk 后端进行处理的数据量。即从分析中排除所有性能和运营数据。

我的目的是利用释放的带宽将一些防病毒和防火墙日志推送到 splunk，而不是服务器性能数据。

我真的非常感谢您对此的帮助。我已经搜索了以前的问题，但似乎找不到答案。但是，如果您知道我可以在哪里找到我的答案的页面，请将链接发送给我:)

亲切的问候

维拉

Answer 1

听起来您已经采用了现成的“技术插件”并将其作为应用程序部署在某些服务器上的 splunk 转发器中？
如果是：
您会在应用程序中找到一个 inputs.conf，并根据需要对其进行调整。
http://docs.splunk.com/Documentation/Splunk/6.5.0/Admin/Inputsconf

您可以简单地使用 disabled = true 禁用 inputs.conf 中的节

Answer 2

Splunk 论坛已经回答了同样的问题：

https://answers.splunk.com/answers/444825/how-to-limit-the-amount-of-data-that-a-splunk-univ.html

对于遇到相同问题的其他人，请参阅上面链接中发布的两个答案，以及来自另一个 Splunk 论坛页面的 this answer，以获得不同的选项。