一、簡單概述
splunk支持多種多樣的數據源,支持上傳文件,監控本地的文件,配置通用轉發器等方式。所有的設置基本上都可以通過Web頁面、splunk CLI命令和直接修改配置文件(需重啟splunk生效)三種方式。
最常見的兩種場景,比如收集syslog 日志以及使用通用轉發器(Agent)收集數據,我們來做一個簡單的應用示例吧。
二、應用實例:收集syslog日志
2.1、Linux rsyslog客戶端配置
(1)rsyslog安裝
yum install rsyslog
(2)啟用TCP進行傳輸
vim /etc/rsyslog.conf
# Provides TCP syslog reception #若啟用TCP進行傳輸,則取消下面兩行的注釋 $ModLoad imtcp $InputTCPServerRun 514
*.* @@192.168.44.130:514
(3)重啟rsyslog服務
systemctl restart rsyslog
2.2、Splunk TCP監聽配置
(1)依次訪問訪問首頁--> 添加數據 -->監視 -->TCP/UDP,選擇TCP,確認端口,點擊下一步。
(2)選擇來源類型,確認主機和索引,點擊檢查。
(3)檢查確認后,點擊提交。
(4)這里已經完成TCP監聽端口的創建,點擊開始搜索,可以發現linux客戶端傳輸過來的syslog數據。
三、應用實例:使用通用轉發器收集Windows日志
3.1 配置Splunk接收端口
(1)設置-->轉發和接收-->配置接收,新增接收端口
3.2 配置Windows通用轉發器
(1)雙擊msi文件進行安裝
(2)將通用轉發器配置為部署客戶端。
(3)配置接收的服務器端口
(4)點擊install,直到完成安裝。
3.3 添加Windows事件日志
(1)在設置-->轉發器管理里面,可以看到已上線的客戶端。
(2)設置-->數據輸入,選擇Windows事件日志,新建新遠程Windows事件日志
(3)選擇來源,選擇事件日志。
(4)選擇索引,或者新建索引。
(5)檢查后提交。
(6)完成數據添加。
(7)點擊開始搜索,成功獲取到Windows事件日志。
