Bonjour, J'ai activé le heavy forwarder sur mon Splunk server (8.0.6) afin de pouvoir forwarder des logs vers un serveur tiers avec qradar. Nous avons identifié 4 sourcetypes pour lesquels forwarder les logs (on ne veut pas tout forwarder). Or il apparaît que la machine cible reçoit toutes les logs. Je pensais que ma conf du outputs.conf ferait en sorte que seules les logs correspondants à ces sourcetypes seraient forwardées. Voici le contenu de mon fichier tcpouts.conf : [syslog] defaultGroup=syslogGroup [syslog:syslogGroup] server = 192.168.152.68:514 [syslog:192.168.152.68:514] syslogSourceType = f5:bigip:syslog syslogSourceType = bluecoat:proxysg:access:syslog syslogSourceType = FO_apache syslogSourceType = backbone_in Quelqu'un saurait comment filtrer pour ne forwarder que les logs de ces 4 sourcetypes ? Merci,
... View more