【原】splunk-(UF)通用转发器

        通用转发器（UF）是为了满足大量数据收集的轻量级工具，它甚至比ElasticSeach的各种Beat还要轻量级，它是Splunk官方最佳日志采集器；它是专用的数据收集机制，只需极少的资源。UF(Forwarder缩写，简称)为收集转发日志数据的默认选择。可提供：

• 检查点/重启功能，确保无损数据收集。

• 可最大程度地减少网络带宽使用的高效协议。

• 节流能力。

• 跨可用索引器的内置负载均衡。

• 使用SSL/TLS的可选网络加密。
  

• 数据压缩（仅可在没有SSL/TLS的情况下使用）。

• 多个数据方法（文件、Windows事件日志，网络输入、脚本输入）。

• 有限的事件过滤能力（仅限Windows事件日志）。

• 并行摄取管道支持，提高吞吐/减少延迟。

        不仅如此还适用于良好构建数据（json、csv、tsv）的少量例外情况外，UF不会将日志源解析为事件，因此他无法执行需要理解日志格式的任何操作，它还随附精简版Python,因此与任何需要完整Splunk堆栈策略队才能运行的模块输入应用不兼容。

       在Splunk环境的端点和服务器部署大量UF(100s至10,000s)及集中管理（通过Splunk部署服务器或第三方配置管理工具（如：Puppet或Chef）属于正常现象。