您可以捐助,支持我们的公益事业。

1元 10元 50元





认证码:  验证码,看不清楚?请点击刷新验证码 必填



  求知 文章 文库 Lib 视频 iPerson 课程 认证 咨询 工具 讲座 Model Center   Code  
会员   
   
 
     
   
 订阅
  捐助
Splunk安装和使用
 
作者:LonelysWorld
   次浏览      
 2020-4-3
 
编辑推荐:
本文主要介绍Splunk安装和使用,从安装装备-服务器安装-客户端安装,以及查看使用情况,希望对您的学习有所帮助。
本文来自于csdn,由火龙果软件Alice编辑、推荐。

Splunk概念

Splunk 是机器数据的引擎。 使用 Splunk

可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。从一个位置 搜索并分析所有实时和历史数据。

使用 Splunking

处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统

整体架构概念

Splunk分为服务器(Splunk)和客户端(Splunkforwarder)。Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。

安装装备

安装包两个:

1.服务器:splunk-6.5.2-67571ef4b87d-linux-2.6-x86_64.rpm

2.客户端:splunkforwarder-6.5.2-67571ef4b87d-linux-2.6-x86_64.rpm

下载地址:官网https://www.splunk.com/ 要先注册

服务器安装

安装(使用root权限): rpm -ivh –prefix=/home/splunk splunk_package_name.rpm

  • –prefix=后面是你要安装的路径,不加这个默认是/opt/splunk
  • 启动:$SPLUNK_HOME/bin/splunk start –accept-license

  • 如果你要用非root启动需要将splunk安装路径赋予权限给新用户
  • 设置开机启动:$SPLUNK_HOME/bin/splunk enable boot-start

    修改索引位置设置(如果你要把索引放在其他指定的目录的话):

    //拷贝元数据的日志到指定目录

    cp -fr /opt/splunk/var/lib/splunk/* /…./….

  • 修改$SPLUNK_HOME/etc/splunk-launch.conf 文件。
  • 修改里面SPLUNK_DB=/新路径,重启splunk。
  • 运行启动后在web输入:http://127.0.0.1:8000 查看server登录页面

    更改许可证书;

    初始账户密码是 admin 和 changeme

    设置接收数据的端口:

  • 点击页面右上角的设置里面的”转发和接收”。选择 “配置接收”那点“新增”。输入你要接收数据的端口如12345 到这里服务器就基本准备好了。
  • 创建索引:

  • 点击页面右上角的设置里面的 “索引” 。选择 “新增索引”。
  • 客户端的安装

    rpm -ivh –prefix=/home/splunk splunk_package_name.rpm

    ./splunk start –accept-license

    修改客户端的密码:./splunk edit user admin -password ‘新密码’ -role admin -auth admin:changeme

    设置客户端的输出(发送的服务器和端口):./splunk add forward-server server_ip:12345

    查看你的输出设置:./splunk list forward-server

    注册客户端到服务器:./splunk set deploy-poll server_ip:8089

  • 你需要将这个客户端注册到服务器。你在web页面上就可以看到有哪些客户端。而且可以在页面上配置监控服务器
  • 监控一个目录:

    ./splunk add monitor /your_dir_path

    ./splunk add monitor /var/log/\*.log

    ./splunk add monitor /your_dir_path -index indexname -sourcetype sourcetypename

    删除

    ./splunk remove monitor /data/weblog/oem.v2.zhiziyun.com

    显示有哪些被监控:./splunk list monitor

    重启客户端

    以上客户端的输入和输出配置都可以通过修改他的配置文件来生效。(怎么配置看官方文档)

    监控哪些目录你可以修改:$SPLUNK_HOME/etc/system/local/input.conf

    格式如下:

    [monitor://日志地址(这里可以使用正则来过滤数据)]
    index=indexName
    sourcetype=sourceName
    [monitor://另一个]
    index=indexName
    sourcetype=sourceName
    [monitor:///xxx/xxx/log/xxx/xxx.log]
    index=xxxxxxxx
    sourcetype=xxxxxx

    转发数据到哪你可以修改:$SPLUNK_HOME/etc/system/local/output.conf

    监控客户端的目录

    选择页面右上角 ‘设置’ 里面的“数据输入”

    点新建:选择你监控的服务器列表 -> 输入你的文件夹路径(可以用正则过滤文件) -> 选择索引和数据类型

    到此你的客户端就配置完成了。你可以在web的搜索界面看到你索引的目录里面的日志文件了。

    如果你要监控多个客户端。你只需按照以上客户端的配置就行了。当然Splunk不止只有这么点功能。你可以查看官方的文档说明。

    邮件告警

    设置发邮件的服务器:设置->服务器设置->电子邮件设置

    Splunk的一大特点就是可以根据你的设置监控你的日志,如果满足你的设置报警条件,它就可以发邮件到特点的邮箱

    删除索引

    Splunk似乎是 没有索引过期自动删除机制的(至少我没看到)

  • 官方给的删除索引的方式有两个
  • 全部清空一个索引数据:停掉server然后运行命令./splunk clean eventdata -index
  • 部分或者全部清空:载web上创建一个新的用户user。赋予can_delete角色。然后用这个用户登录,在搜索页面输入你 的查询条件如:index=”test” | delete 那他会把你查出来的都删掉

  • 控制index的大小。可以在创建index的时候知道大小范围,超过这个大小索引数据就会被清空

  • 企业版转免费版(free)。如果不买的话(其实free版对看日志来说完全够用了,一天怎么说也不会有500M的日志,例外就算了,网上有破解的脚本),建议刚装好的时候就把证书转为free。因为一开始的时候默认是企业 trit版,当你建用这个版本建index之后,等过期了想再转free可能会出现index不可用,新建也不行,这个时候你可能需要重新安装,所以建议是刚装好splunk就把真证书转为free版然后重启即可。

    在授权里面更改证书组即可。

    查看使用情况

     
       
    次浏览       
    相关文章

    DevOps转型融入到企业文化
    DevOps 能力模型、演进及案例剖析
    基于 DevOps 理念的私有 PaaS 平台实践
    微软开发团队的DevOps实践启示
    相关文档

    DevOps驱动应用运维变革与创新
    运维管理规划
    如何实现企业应用部署自动化
    运维自动化实践之路
    相关课程

    自动化运维工具(基于DevOps)
    互联网运维与DevOps
    MySQL性能优化及运维培训
    IT系统运维管理
     
    最新活动计划
    LLM大模型应用与项目构建 12-26[特惠]
    QT应用开发 11-21[线上]
    C++高级编程 11-27[北京]
    业务建模&领域驱动设计 11-15[北京]
    用户研究与用户建模 11-21[北京]
    SysML和EA进行系统设计建模 11-28[北京]
     
    最新文章
    DevOps 道法术器,立体化实施框架
    DevOps 中高效测试基础架构的最佳实践
    DevOps 在公司项目中的实践落地
    如何基于 Kubernetes 构建完整的 DevOps 流水线
    阿里云Kubernetes实战
    最新课程
    DevOps体系实践、工具与平台
    基于Kubernetes的DevOps实践
    互联网运维与DevOps
    基于Kubernetes构建企业容器云
    企业级DevOps工作体系与平台
    更多...   
    成功案例
    北京 DevOps体系实践、工具与平台
    神龙汽车 DevOps体系实践、工具与平台
    中国移动通信 网络规划与管理
    某航空公司 IT规划与企业架构
    某金融公司 IT服务管理(ITIL V3)
    更多...