Solved: Does it affect Splunk to monitor encrypted archive...

yutaka1005 · ‎12-11-2018

I know that Splunk doesn't support monitoring of encrypted data.

But I want to know what happens when Splunk tries to monitor encrypted archive data,
because I think that there is a possibility that Splunk accidentally monitored encrypted archive data when I configure dir monitoring.

In whatever form (collapsed etc.), does Splunk capture those data?
Are there any effects to performance?
Can I detect monitoring of encrypted data from internal log or other some information?

If someone knows about it, please tell me.

HiroshiSatoh · ‎12-11-2018

検証してみました。

以下のようなログを出力して処理を終了するだけです。

INFO  ArchiveProcessor - Finished processing file 'XXX.zip', removing from stats

TailProcessorは対象となったファイルを再び監視し、更新日が変更されれば再度同じ処理を行います。
list monitorすれば監視対象としてZIPファイルが表示されます。読めないファイルを監視するので無駄といえば無駄ですが、その程度のことです。数ファイル、３時間程度での検証ですがリソースの増加も認められませんでした。

View solution in original post

HiroshiSatoh · ‎12-11-2018

検証してみました。

以下のようなログを出力して処理を終了するだけです。

INFO  ArchiveProcessor - Finished processing file 'XXX.zip', removing from stats

TailProcessorは対象となったファイルを再び監視し、更新日が変更されれば再度同じ処理を行います。
list monitorすれば監視対象としてZIPファイルが表示されます。読めないファイルを監視するので無駄といえば無駄ですが、その程度のことです。数ファイル、３時間程度での検証ですがリソースの増加も認められませんでした。

Does it affect Splunk to monitor encrypted archive data?

Can’t make it to .conf25? Join us online!

Can’t Make It to Boston? Stream .conf25 and Learn with Haya Husain

Splunk Lantern’s Guide to The Most Popular .conf25 Sessions

Unlock What’s Next: The Splunk Cloud Platform at .conf25

Are you a member of the Splunk Community?

Does it affect Splunk to monitor encrypted archive data?

Can’t make it to .conf25? Join us online!

Can’t Make It to Boston? Stream .conf25 and Learn with Haya Husain

Splunk Lantern’s Guide to The Most Popular .conf25 Sessions

Unlock What’s Next: The Splunk Cloud Platform at .conf25