一、splunk安裝
splunk作為一款專業的大數據分析軟件被大家誤解為是日志分析軟件真是委屈,但是我就是用它來做日志分析的,呵呵~
splunk分為免費版及專業版,專業版提供60的免費使用,但是對流量有限制,每天上線500M,60天后自動轉為免費版。
在官網下載安裝包https://www.splunk.com/目前最新版本為7.0.0,下載前需要先注冊。哦,注冊留了自己的手機號,跟客服姐姐聊了很久。
將下載好的包,放入/usr/local/tools/,我的系統為 centos6.9,splunk支持多個系統的安裝,根據自己的需要下載安裝包即可。
tar -zxvf splunk-7.0.0-c8a78efdd40f-Linux-x86_64.tgz -C /opt:解壓縮,指定解壓位置/opt
如圖1,opt文件夾下生成一個splunk文件,現在splunk就安裝好了。
啟動splunk:
cd /opt/splunk/bin
./splunk start
設置splunk開機啟動
$SPLUNK_HOME/bin/splunk enable boot-start
根據自己的安裝位置調整,這邊我們的是:/opt/splunk/bin/splunk enable boot-start
至此,splunk服務器搭建完成,可通過http://ip:8000訪問。
初始用戶名和密碼
配置splunk搜索器,設置==》轉發和接收==》新增,端口自己設置啦,這里設置默認端口9997,設置完成,服務器搞定,索引以后根據自己的需求慢慢添加。
二、splunk forward安裝
windows安裝
splunk forward windows版本依然是在官網下載
這里的安裝就比較簡單了,選擇customize options
這里隨便選啦!!!!
這里填寫搜索器的ip加默認端口吧,如果搜索器和轉發器在一臺上就需要修改。
這個呢,要在轉發器上提前配置好端口
到這里不用管了,安裝好了
接下來
cmd 進入命令行
cd$SPLUNKFORWARD_HOME/bin
splunk.exe add forward-server 172.16.11.247:9997
用戶名密碼就是你在搜索器上設置的,9997自己在搜索器上設置
重啟一遍服務
然后日志就同步上了,主機名什么的,不會。。。不會我也不告訴你,自己查。。。。
splunk forward linux安裝
官網下載安裝包,安裝基本上與splunk類似
創建一個splunk文件,放進安裝包
mkdir splunk
tar -zxvf splunkforwarder-7.0.0-c8a78efdd40f-Linux-x86_64.tgz
cd$SPLUNKFORWARD_HOME/bin
啟動
./splunk start
./splunk enable boot-start
修改客戶端的密碼:./splunk edit user admin -password '新密碼’ -role admin -auth admin:changeme
配置通用轉發器裝發的服務器和端口(發送的服務器和端口):
./splunk add forward-server 172.16.11.247:9997
注冊客戶端到服務器:./splunk set deploy-poll server_ip:8089
查看默認的監控目錄:./splunk list monitor
監控一個目錄:./splunk add m
安裝完成,可以愉快的收日志了。
splunk的第一次配置之路,over!
