今天实验增加一个forwarder ,并且配置在deployment server 上,而且还有可以在search head 上查询到数据。
1:install universal forwarder:
docker run --network skynet --name fd02 --hostname fd02 -e "SPLUNK_PASSWORD=sheng2020" -e "SPLUNK_START_ARGS=--accept-license" -e "SPLUNK_STANDALONE_URL=fd01" -it splunk/universalforwarder:latest
2: 检查和deploy-server 的连接:
splunk list forward-server
[root@fd02 splunkforwarder]# splunk list forward-server
Active forwards:
fd01:9997
Configured but inactive forwards:
None
[root@fd02 splunkforwarder]#
3: 可以再add 一下:(因为这个forwarder client 是创建的时候带了deployment server 的信息,如果是单独安装的,就有这个add forward-server 的动作了)
[root@fd02 splunkforwarder]# splunk add forward-server 172.18.0.6:9997
Added forwarding to: 172.18.0.6:9997.
[root@fd02 splunkforwarder]# splunk list forward-server
Active forwards:
fd01:9997
Configured but inactive forwards:
172.18.0.6:9997
4:配置deploy client 的信息:(可以先到ds01 console 上看,是没有发现fd02 的)。
参考:https://docs.splunk.com/documentation/Splunk/8.2.2/Updating/Extendedexampledeployseveralstandardforwarders
编辑:$SPLUNK_HOME/etc/system/local/deploymentclient.conf
[deployment-client]
[target-broker:deploymentServer]
# Specify the deployment server; for example, "10.1.2.4:8089".
targetUri= 172.18.0.6:8089
5: 编辑好,forwarder client 重启后,可以看到client 了:
6:哦,原来我的serverclass 有过滤规则,所以,新的fd02 自动加进来了:
7:因为serverclass.conf 文件变了,都要进行splunk reload deploy-server 的动作,才可以是serverclass 相关的app. Client 生效:
先去fd02 看有没有相关的apps :
发现已经有了。
我先在deployment server reload 一下:splunk reload deploy-server
8: 编辑监控目录:
[root@fd02 default]# pwd
/opt/splunkforwarder/etc/apps/jiabao/default
[root@fd02 default]# cat inputs.conf
[monitor:///changzhou]
index = app_jiabao
disabled = false
ignoreOlderThan = 1d
followTail = 0
9:检查一下monitor list 没有发现这个monitor folder, 还是splunk restart 一下。
Splunk list monitor 就可以看到 要监控的 /changzhou 目录了。
10:到search head 的monitor 控制台,可以看到 fd02 已经进来了:
11: 下面开始往fd02 的监控文 /changzhou件夹下面发数据:
然后search head 上查询:index="_internal" host=fd02
说明已经可以了:
12: 再次以index 查询:
发现成功啦~
