I know that Splunk doesn't support monitoring of encrypted data.
But I want to know what happens when Splunk tries to monitor encrypted archive data,
because I think that there is a possibility that Splunk accidentally monitored encrypted archive data when I configure dir monitoring.
In whatever form (collapsed etc.), does Splunk capture those data?
Are there any effects to performance?
Can I detect monitoring of encrypted data from internal log or other some information?
If someone knows about it, please tell me.
検証してみました。
以下のようなログを出力して処理を終了するだけです。
INFO ArchiveProcessor - Finished processing file 'XXX.zip', removing from stats
TailProcessorは対象となったファイルを再び監視し、更新日が変更されれば再度同じ処理を行います。
list monitorすれば監視対象としてZIPファイルが表示されます。読めないファイルを監視するので無駄といえば無駄ですが、その程度のことです。数ファイル、3時間程度での検証ですがリソースの増加も認められませんでした。
検証してみました。
以下のようなログを出力して処理を終了するだけです。
INFO ArchiveProcessor - Finished processing file 'XXX.zip', removing from stats
TailProcessorは対象となったファイルを再び監視し、更新日が変更されれば再度同じ処理を行います。
list monitorすれば監視対象としてZIPファイルが表示されます。読めないファイルを監視するので無駄といえば無駄ですが、その程度のことです。数ファイル、3時間程度での検証ですがリソースの増加も認められませんでした。