Splunk转发器centos部署

Spunk概述

1)Splunk分为服务器(Splunk)和客户端(Splunkforwarder)。
Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。
2)Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。
​它允许您以可重复的方式快速,可重复地收集,存储,索引,搜索,关联,可视化,分析和报告任何日志数据或机器生成的数据,以识别和解决操作和安全问题。,
3)splunk还支持各种日志管理用例,例如日志整合和保留,安全性,IT操作故障排除,应用程序故障排除以及合规性报告

前提准备:spunk服务客户端配置:

 添加9997端口或其他自定义端口

 安装

rpm -ivh ./splunk9/splunkforwarder-9.2.0.1-d8ae995bf219.x86_64.rpm

手动配置Splunk转发器

#添加权限
chmod 755 splunkforwarder -R  
#配置转发器,进入转发器目录
cd splunkforwarder/bin


#splunk服务操作命令:
	./splunk start    #启动
	./splunk restart  #重新启动
	./spunk stop      #停止转发


#配置转发文件
cd /opt/splunkforwarder/etc/system/local/  #进入转发器配置功能
vim inputs.conf                            #创建inputs.conf文件
	[default]
	host=本机ip地址                         #配置在splunk服务器端显示的主机名
	[monitor:///var/logs]                 #转发路径
	sourcetype=apache1	                   #配置固定的sourcetype
	index=main	                           #配置自定义固定的索引
	
vim outputs.conf                           #创建outputs.conf文件
	[tcpout]
	defaultGroup = default-autolb-group
	[tcpout:default-autolb-group]
	server = splunk平台ip:平台接收端口9997
	[tcpout-server:// splunk平台ip:平台接收端口9997]
	
vim deploymentclient.conf 
	[target-broker:deploymentServer]
	targetUri = splunk平台ip:管理端口 8089


#splunk重启服务
 cd /opt/splunkforwarder/bin/
 ./splunk restart


#重要操作:修改hostname 在生成的server.conf中编辑
vim server.conf
[general]
serverName = crm42

 

配置后客户端可以查看结果

 查看实例:

 

posted @ 2024-02-20 10:55  study_php_java_C++  阅读(166)  评论(0编辑  收藏  举报