编辑推荐: |
本文主要介绍Splunk安装和使用,从安装装备-服务器安装-客户端安装,以及查看使用情况,希望对您的学习有所帮助。
本文来自于csdn,由火龙果软件Alice编辑、推荐。 |
|
Splunk概念
Splunk 是机器数据的引擎。 使用 Splunk
可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。从一个位置
搜索并分析所有实时和历史数据。
使用 Splunking
处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统
整体架构概念
Splunk分为服务器(Splunk)和客户端(Splunkforwarder)。Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。
安装装备
安装包两个:
1.服务器:splunk-6.5.2-67571ef4b87d-linux-2.6-x86_64.rpm
2.客户端:splunkforwarder-6.5.2-67571ef4b87d-linux-2.6-x86_64.rpm
下载地址:官网https://www.splunk.com/ 要先注册
服务器安装
安装(使用root权限): rpm -ivh –prefix=/home/splunk splunk_package_name.rpm
–prefix=后面是你要安装的路径,不加这个默认是/opt/splunk
启动:$SPLUNK_HOME/bin/splunk start –accept-license
如果你要用非root启动需要将splunk安装路径赋予权限给新用户
设置开机启动:$SPLUNK_HOME/bin/splunk enable boot-start
修改索引位置设置(如果你要把索引放在其他指定的目录的话):
//拷贝元数据的日志到指定目录
cp -fr /opt/splunk/var/lib/splunk/* /…./….
修改$SPLUNK_HOME/etc/splunk-launch.conf 文件。
修改里面SPLUNK_DB=/新路径,重启splunk。
运行启动后在web输入:http://127.0.0.1:8000 查看server登录页面
更改许可证书;
初始账户密码是 admin 和 changeme
设置接收数据的端口:
点击页面右上角的设置里面的”转发和接收”。选择 “配置接收”那点“新增”。输入你要接收数据的端口如12345
到这里服务器就基本准备好了。
创建索引:
点击页面右上角的设置里面的 “索引” 。选择 “新增索引”。
客户端的安装
rpm -ivh –prefix=/home/splunk splunk_package_name.rpm
./splunk start –accept-license
修改客户端的密码:./splunk edit user admin -password ‘新密码’
-role admin -auth admin:changeme
设置客户端的输出(发送的服务器和端口):./splunk add forward-server server_ip:12345
查看你的输出设置:./splunk list forward-server
注册客户端到服务器:./splunk set deploy-poll server_ip:8089
你需要将这个客户端注册到服务器。你在web页面上就可以看到有哪些客户端。而且可以在页面上配置监控服务器
监控一个目录:
./splunk add monitor /your_dir_path
./splunk add monitor /var/log/\*.log
./splunk add monitor /your_dir_path -index indexname
-sourcetype sourcetypename
删除
./splunk remove monitor /data/weblog/oem.v2.zhiziyun.com
显示有哪些被监控:./splunk list monitor
重启客户端
以上客户端的输入和输出配置都可以通过修改他的配置文件来生效。(怎么配置看官方文档)
监控哪些目录你可以修改:$SPLUNK_HOME/etc/system/local/input.conf
格式如下:
[monitor://日志地址(这里可以使用正则来过滤数据)]
index=indexName
sourcetype=sourceName
[monitor://另一个]
index=indexName
sourcetype=sourceName
[monitor:///xxx/xxx/log/xxx/xxx.log]
index=xxxxxxxx
sourcetype=xxxxxx |
转发数据到哪你可以修改:$SPLUNK_HOME/etc/system/local/output.conf
监控客户端的目录
选择页面右上角 ‘设置’ 里面的“数据输入”
点新建:选择你监控的服务器列表 -> 输入你的文件夹路径(可以用正则过滤文件) -> 选择索引和数据类型
到此你的客户端就配置完成了。你可以在web的搜索界面看到你索引的目录里面的日志文件了。
如果你要监控多个客户端。你只需按照以上客户端的配置就行了。当然Splunk不止只有这么点功能。你可以查看官方的文档说明。
邮件告警
设置发邮件的服务器:设置->服务器设置->电子邮件设置
Splunk的一大特点就是可以根据你的设置监控你的日志,如果满足你的设置报警条件,它就可以发邮件到特点的邮箱
删除索引
Splunk似乎是 没有索引过期自动删除机制的(至少我没看到)
官方给的删除索引的方式有两个
全部清空一个索引数据:停掉server然后运行命令./splunk
clean eventdata -index
部分或者全部清空:载web上创建一个新的用户user。赋予can_delete角色。然后用这个用户登录,在搜索页面输入你
的查询条件如:index=”test” | delete 那他会把你查出来的都删掉
控制index的大小。可以在创建index的时候知道大小范围,超过这个大小索引数据就会被清空
企业版转免费版(free)。如果不买的话(其实free版对看日志来说完全够用了,一天怎么说也不会有500M的日志,例外就算了,网上有破解的脚本),建议刚装好的时候就把证书转为free。因为一开始的时候默认是企业
trit版,当你建用这个版本建index之后,等过期了想再转free可能会出现index不可用,新建也不行,这个时候你可能需要重新安装,所以建议是刚装好splunk就把真证书转为free版然后重启即可。
在授权里面更改证书组即可。
查看使用情况
|