Solved: Why am I getting cooked mode v3 data testing TCP i...

jcbfaulks · ‎10-23-2014

I'm not exactly sure what is going on but when I installed universal forwarder and the receiver my splunk is getting this as data.

--splunk-cooked-mode-v3--\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00IT-CON-178\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x008089\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x00\x00\x00\x00\x00\x00__s2s_capabilities\x00\x00\x00\x00ack=0;compression=0\x00\x00\x00\x00\x00\x00\x00\x00_raw\x00

I don't know why its coming out like this on the other end the file is just a regular log file nothing special. I uploaded it before through file/dir inputs now testing the tcp input but this is happening. Anyone can point me in the right direction?

martin_mueller · ‎10-23-2014

Make sure your Splunk indexer has receiving turned on (splunktcp in inputs.conf, Settings -> Forwarding and Receiving -> Configure Receiving in the UI) for cooked data from Splunk forwarders rather than just listening on a tcp port (tcp in inputs.conf, Settings -> Data Inputs -> TCP in the UI) for raw data.

http://docs.splunk.com/Documentation/Splunk/6.1.4/Forwarding/Enableareceiver

View solution in original post

martin_mueller · ‎10-23-2014

Make sure your Splunk indexer has receiving turned on (splunktcp in inputs.conf, Settings -> Forwarding and Receiving -> Configure Receiving in the UI) for cooked data from Splunk forwarders rather than just listening on a tcp port (tcp in inputs.conf, Settings -> Data Inputs -> TCP in the UI) for raw data.

http://docs.splunk.com/Documentation/Splunk/6.1.4/Forwarding/Enableareceiver

jcbfaulks · ‎10-24-2014

I didn't set up the receiver but it was gone for some reason. . . dammit. Thanks

Why am I getting cooked mode v3 data testing TCP input on Universal Forwarder?

Introducing the Splunk Community Dashboard Challenge!

Get the T-shirt to Prove You Survived Splunk University Bootcamp

Wondering How to Build Resiliency in the Cloud?