splunk介绍

1,概念
数据发送、数据收集并索引。原始数据一开始一般是由不同机器产生,通过不同的组件向indexer发送这些原始数据,这些组件有splunk forwarders、syslog、WMI等等,数据发给indexer之后,indexer就会为数据建立索引,建立索引的目的是加快查询速度。这样之后,用户就可以通过统一的窗口操作数据了,比如查询。
splunk的四大组件,分别是搜索和报表(search and reporting),索引(indexer),分布式服务(deployment)和数据转发(forwarder)。

2,server端安装

systemctl stop firewalld.service
systemctl disable firewalld.service
tar -zxvf splunk-7.2.0-8c86330ac18-Linux-x86_64.tgz -C /opt
cd /opt/splunk/bin/
. setSplunkEnv
echo $SPLUNK_HOME
$SPLUNK_HOME/bin/splunk start --accept-license
$SPLUNK_HOME/bin/splunk restart
$SPLUNK_HOME/bin/splunk enable boot-start
浏览器输入:
https://135.251.206.15:8000

3,client端安装

安装到/opt下面:
64bit,x86的
tar -xvf splunkforwarder-7.2.0-8c86330ac18-Linux-x86_64.tgz -C /opt
32bit,i686的
tar -xvf splunkforwarder-7.1.2-a0c72a66db66-Linux-i686.tgz -C /opt
cd /opt/splunkforwarder/bin
./splunk start --accept-license
./splunk list forward-server
./splunk add forward-server 135.251.206.15:12345
客户端注册到服务器: ./splunk set deploy-poll 135.251.206.15:8089
监控日志:./splunk add monitor /var/log/\*.log
显示有哪些被监控: ./splunk list monitor
./splunk restart
echo $SPLUNK_HOME
. setSplunkEnv
$SPLUNK_HOME/bin/splunk restart
配置环境变量:echo "export PATH=/opt/splunkforwarder/bin:$PATH" >> /etc/profile
监控客户端:server的web页面,设置》监视控制台》转发器 实例
监视客户端目录:server的web页面,设置》数据输入》转发的输入》文件&目录》新远程文件和目录》

4, Debug

tail -f /opt/splunk/var/log/splunk/splunkd.log
tail -f /opt/splunkforwarder/var/log/splunk/splunkd.log
/opt/splunkforwarder/bin/splunk restart
netstat -tnap | grep -e 9997
cat $SPLUNK_HOME/etc/system/local/inputs.conf
cat $SPLUNK_HOME/etc/system/local/outputs.conf
$SPLUNK_HOME/bin/splunk cmd btool outputs list --debug
————————————————

作者: 软件定制开发

李铁牛,一直致力于企业客户软件定制开发,计算机专业毕业后,一直从事于互联网产品开发到现在。系统开发,系统源码:15889726201
上一篇
下一篇
联系我们

联系我们

15889726201

在线咨询: QQ交谈

邮箱: 187395037@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部