1,概念
数据发送、数据收集并索引。原始数据一开始一般是由不同机器产生,通过不同的组件向indexer发送这些原始数据,这些组件有splunk forwarders、syslog、WMI等等,数据发给indexer之后,indexer就会为数据建立索引,建立索引的目的是加快查询速度。这样之后,用户就可以通过统一的窗口操作数据了,比如查询。
splunk的四大组件,分别是搜索和报表(search and reporting),索引(indexer),分布式服务(deployment)和数据转发(forwarder)。
2,server端安装
systemctl stop firewalld.service
systemctl disable firewalld.service
tar -zxvf splunk-7.2.0-8c86330ac18-Linux-x86_64.tgz -C /opt
cd /opt/splunk/bin/
. setSplunkEnv
echo $SPLUNK_HOME
$SPLUNK_HOME/bin/splunk start --accept-license
$SPLUNK_HOME/bin/splunk restart
$SPLUNK_HOME/bin/splunk enable boot-start
浏览器输入:
https://135.251.206.15:8000
3,client端安装
安装到/opt下面:
64bit,x86的
tar -xvf splunkforwarder-7.2.0-8c86330ac18-Linux-x86_64.tgz -C /opt
32bit,i686的
tar -xvf splunkforwarder-7.1.2-a0c72a66db66-Linux-i686.tgz -C /opt
cd /opt/splunkforwarder/bin
./splunk start --accept-license
./splunk list forward-server
./splunk add forward-server 135.251.206.15:12345
客户端注册到服务器: ./splunk set deploy-poll 135.251.206.15:8089
监控日志:./splunk add monitor /var/log/\*.log
显示有哪些被监控: ./splunk list monitor
./splunk restart
echo $SPLUNK_HOME
. setSplunkEnv
$SPLUNK_HOME/bin/splunk restart
配置环境变量:echo "export PATH=/opt/splunkforwarder/bin:$PATH" >> /etc/profile
监控客户端:server的web页面,设置》监视控制台》转发器 实例
监视客户端目录:server的web页面,设置》数据输入》转发的输入》文件&目录》新远程文件和目录》
4, Debug
tail -f /opt/splunk/var/log/splunk/splunkd.log
tail -f /opt/splunkforwarder/var/log/splunk/splunkd.log
/opt/splunkforwarder/bin/splunk restart
netstat -tnap | grep -e 9997
cat $SPLUNK_HOME/etc/system/local/inputs.conf
cat $SPLUNK_HOME/etc/system/local/outputs.conf
$SPLUNK_HOME/bin/splunk cmd btool outputs list --debug
————————————————