Na instalação do Windows Splunk Universal Forwarder selecionamos quais itens do Event View gostariamos de adicionar ao Splunk e o caminho para monitorar (path to monitor).
Conforme imagem acima, adicionei um caminho mas gostaria de adicionar mais um local para monitorar e não achei facilmente (e não achei). Na minha pesquisa falavam para editar um arquivo X e reiniciar o serviço, mas não falavam onde o arquivo está e nem exemplo de como adicinar.
E acabei pesquisando nos arquivos do proprio Splunk e descobri onde o arquivo fica salvo:
C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\local
[monitor://C:\Program Files\Idaptive\Idaptive Connector\log.txt]
disabled = false
[monitor://C:\Program Files\Centrify\Centrify Connector\log.txt]
disabled = false
Após adicionar o caminho é preciso reiniciar o serviço do splunk, tem duas formas a mais simples é pelo serviços do Windows e a outra é abrir o CMD como administrador, dentro do caminho certo e executar o comando: splunk restart
Palavras chaves: splunk, Windows Splunk Universal Forwarder, idaptive, centrify, path to monitor, monitorar, adicionar mais logs