Splunk转发器centos部署
Spunk概述
1)Splunk分为服务器(Splunk)和客户端(Splunkforwarder)。 Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。 2)Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。 它允许您以可重复的方式快速,可重复地收集,存储,索引,搜索,关联,可视化,分析和报告任何日志数据或机器生成的数据,以识别和解决操作和安全问题。, 3)splunk还支持各种日志管理用例,例如日志整合和保留,安全性,IT操作故障排除,应用程序故障排除以及合规性报告
前提准备:spunk服务客户端配置:
添加9997端口或其他自定义端口
安装
rpm -ivh ./splunk9/splunkforwarder-9.2.0.1-d8ae995bf219.x86_64.rpm
手动配置Splunk转发器
#添加权限 chmod 755 splunkforwarder -R #配置转发器,进入转发器目录 cd splunkforwarder/bin #splunk服务操作命令: ./splunk start #启动 ./splunk restart #重新启动 ./spunk stop #停止转发 #配置转发文件 cd /opt/splunkforwarder/etc/system/local/ #进入转发器配置功能 vim inputs.conf #创建inputs.conf文件 [default] host=本机ip地址 #配置在splunk服务器端显示的主机名 [monitor:///var/logs] #转发路径 sourcetype=apache1 #配置固定的sourcetype index=main #配置自定义固定的索引 vim outputs.conf #创建outputs.conf文件 [tcpout] defaultGroup = default-autolb-group [tcpout:default-autolb-group] server = splunk平台ip:平台接收端口9997 [tcpout-server:// splunk平台ip:平台接收端口9997] vim deploymentclient.conf [target-broker:deploymentServer] targetUri = splunk平台ip:管理端口 8089 #splunk重启服务 cd /opt/splunkforwarder/bin/ ./splunk restart #重要操作:修改hostname 在生成的server.conf中编辑 vim server.conf [general] serverName = crm42
配置后客户端可以查看结果
查看实例: