- 1.Spunk概述
- 2.Splunk获取
- 3.Splunk转发器安装windows
- 场景一:
- 场景二:
- 1)手动配置Splunk转发器
- 2)splunk server配置添加
- 4.Splunk转发器安装linux(center os)
- 1)linux安装
- 2)splunk转发器主要配置
- 3)splunk配置
- 5.splunk安装部署
1.Spunk概述
2.Splunk获取1)Splunk分为服务器(Splunk)和客户端(Splunkforwarder)。
Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。
2)Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。
它允许您以可重复的方式快速,可重复地收集,存储,索引,搜索,关联,可视化,分析和报告任何日志数据或机器生成的数据,以识别和解决操作和安全问题。,
3)splunk还支持各种日志管理用例,例如日志整合和保留,安全性,IT操作故障排除,应用程序故障排除以及合规性报告
3.Splunk转发器安装windows【splunk官方网站】
场景一:官网获取splunk 转发器并上传windows服务器:
splunkforwarder-8.1.3-63079c59e632-x64-release
双击打开并选择安装:接受许可协议并选择内部安装实例
选择自定义路径
选择本地系统:
创建管理员及用户认证凭据
admin:admin@2022
指定splunk server地址
设置splunk接受端口(默认即可)
配置完成后安装即可 :
场景二:修改 splunk配置:如下做所示:
双击打开并安装splunkforwarder:勾选接受许可协议,并下一步
安装Splunk转发器:
1)手动配置Splunk转发器刷新完成安装
手动切换到此目录:
C:Program FilesSplunkUniversalForwarderetcsystemlocal
打开如下文件
#第一个文件splunk转发器认证配置(默认即可) #第二个文件部署指定的splunk server端,deploymentclient.conf;内容如下所示: [target-broker:deploymentServer] targetUri = 192.168.1.10:8089 #server端ip #第三个文件一般默认 #第四个文件转发模块,migration.conf,配置为true [history] checked_bad_monitor_regexes = true 第五个文件为推送配置outputs.conf [tcpout] defaultGroup = default-autolb-group [tcpout:default-autolb-group] server = 192.168.1.10:9997 #server端ip [tcpout-server://192.168.1.10:9997] #server.conf(默认即可) [general] serverName = SH5-BACKUP pass4SymmKey = $7$9ThGrHDtIuOIFyQL+F8u7T/9csXt/6eTdYyndFQ4ZfmFtUZ1rqpCbA== [sslConfig] sslPassword = $7$EZRzO43Py2sF+IrLAX2XxQ6tYv5jxa+o/iH0qixD2pohbPB17uaziA== [lmpool:auto_generated_pool_forwarder] description = auto_generated_pool_forwarder quota = MAX slaves = * stack_id = forwarder [lmpool:auto_generated_pool_free] description = auto_generated_pool_free quota = MAX slaves = * stack_id = free
修改 splunk配置:
打开C:Program FilesSplunkUniversalForwarderetcsystemdefaultinputs.conf
查找WinEventLog模块,修改配置
配置完成后重启转发器:
打开本地服务管理:win+r —》services.msc
2)splunk server配置添加查看端口是否开启
splunk 添加windows转发接收端口:
选择设置按钮,选择转发和接受选项
添加新增接受数据
配置监听的端口:9998(端口可自定义,按照配置端口)
splunk检索的索引配置:
我们选择以下方式:
选择已安装转发器 监听道到的设备
选择windows 日志文件位置,这里我们监控防火墙
Windows server设置防火墙日志
三个全部设置一下:
4.Splunk转发器安装linux(center os)转到搜索,按照索引进行查找:
1)linux安装linux server上安装转发器
#下载解压转发器 tar -zxvf splunkforwarder-8.2.2.1-ae6821b7c64b-Linux-x86_64.tgz #添加权限 chmod 755 splunkforwarder -R #配置转发器,进入转发器目录 cd splunkforwarder/bin #splunk服务操作命令: ./splunk start #启动 ./splunk restart #重新启动 ./spunk stop #停止转发 #配置转发文件 cd /opt/splunkforwarder/etc/system/local/ #进入转发器配置功能 vim inputs.conf #创建inputs.conf文件 [default] host=本机ip地址 #配置在splunk服务器端显示的主机名 [monitor:///var/log/*] #转发路径 sourcetype=apache1 #配置固定的sourcetype index=panda #配置固定的索引 vim outputs.conf #创建outputs.conf文件 [tcpout] defaultGroup = default-autolb-group [tcpout:default-autolb-group] server = splunk平台ip:平台接收端口 [tcpout-server:// splunk平台ip:平台接收端口] vim deploymentclient.conf [target-broker:deploymentServer] targetUri = splunk平台ip:平台接收端口 #splunk重启服务 cd /opt/splunkforwarder/bin/ ./splunk restart2)splunk转发器主要配置 3)splunk配置
5.splunk安装部署后面配置与windows类似,详情略
【splnuk部署安装】
