Solved: Does it affect Splunk to monitor encrypted archive...

yutaka1005 · ‎12-11-2018

I know that Splunk doesn't support monitoring of encrypted data.

But I want to know what happens when Splunk tries to monitor encrypted archive data,
because I think that there is a possibility that Splunk accidentally monitored encrypted archive data when I configure dir monitoring.

In whatever form (collapsed etc.), does Splunk capture those data?
Are there any effects to performance?
Can I detect monitoring of encrypted data from internal log or other some information?

If someone knows about it, please tell me.

HiroshiSatoh · ‎12-11-2018

検証してみました。

以下のようなログを出力して処理を終了するだけです。

INFO  ArchiveProcessor - Finished processing file 'XXX.zip', removing from stats

TailProcessorは対象となったファイルを再び監視し、更新日が変更されれば再度同じ処理を行います。
list monitorすれば監視対象としてZIPファイルが表示されます。読めないファイルを監視するので無駄といえば無駄ですが、その程度のことです。数ファイル、３時間程度での検証ですがリソースの増加も認められませんでした。

View solution in original post

HiroshiSatoh · ‎12-11-2018

検証してみました。

以下のようなログを出力して処理を終了するだけです。

INFO  ArchiveProcessor - Finished processing file 'XXX.zip', removing from stats

TailProcessorは対象となったファイルを再び監視し、更新日が変更されれば再度同じ処理を行います。
list monitorすれば監視対象としてZIPファイルが表示されます。読めないファイルを監視するので無駄といえば無駄ですが、その程度のことです。数ファイル、３時間程度での検証ですがリソースの増加も認められませんでした。

Does it affect Splunk to monitor encrypted archive data?

Join the Splunk Community Slack to learn, troubleshoot, and make connections with fellow Splunk practitioners in real time!

Join Splunk User Groups to connect and learn in-person by region or remotely by topic or industry.

Announcing Modern Navigation: A New Era of Splunk User Experience

Observability Simplified: Combining User Experience, Application Performance & ...

Event Series May & June: From Network Visibility to Service Intelligence

Join the Conversation