绑定完请刷新页面
取消
刷新

分享好友

×
取消 复制
splunk概念介绍和组装学习
2022-04-29 14:51:01

1,概念
数据发送、数据收集并索引。原始数据一开始一般是由不同机器产生,通过不同的组件向indexer发送这些原始数据,这些组件有splunk forwarders、syslog、WMI等等,数据发给indexer之后,indexer就会为数据建立索引,建立索引的目的是加快查询速度。这样之后,用户就可以通过统一的窗口操作数据了,比如查询。
splunk的四大组件,分别是搜索和报表(search and reporting),索引(indexer),分布式服务(deployment)和数据转发(forwarder)。

2,server端安装

systemctl stop firewalld.service
systemctl disable firewalld.service
tar -zxvf splunk-7.2.0-8c86330ac18-Linux-x86_64.tgz -C /opt
cd /opt/splunk/bin/
. setSplunkEnv
echo $SPLUNK_HOME
$SPLUNK_HOME/bin/splunk start --accept-license
$SPLUNK_HOME/bin/splunk restart
$SPLUNK_HOME/bin/splunk enable boot-start
浏览器输入:
https://135.251.206.15:8000

3,client端安装

安装到/opt下面:
64bit,x86的
tar -xvf splunkforwarder-7.2.0-8c86330ac18-Linux-x86_64.tgz -C /opt
32bit,i686的
tar -xvf splunkforwarder-7.1.2-a0c72a66db66-Linux-i686.tgz -C /opt
cd /opt/splunkforwarder/bin
./splunk start --accept-license
./splunk list forward-server
./splunk add forward-server 135.251.206.15:12345
客户端注册到服务器: ./splunk set deploy-poll 135.251.206.15:8089
监控日志:./splunk add monitor /var/log/\*.log
显示有哪些被监控: ./splunk list monitor
./splunk restart
echo $SPLUNK_HOME
. setSplunkEnv
$SPLUNK_HOME/bin/splunk restart
配置环境变量:echo "export PATH=/opt/splunkforwarder/bin:$PATH" >> /etc/profile
监控客户端:server的web页面,设置》监视控制台》转发器 实例
监视客户端目录:server的web页面,设置》数据输入》转发的输入》文件&目录》新远程文件和目录》

4, Debug

tail -f /opt/splunk/var/log/splunk/splunkd.log
tail -f /opt/splunkforwarder/var/log/splunk/splunkd.log
/opt/splunkforwarder/bin/splunk restart
netstat -tnap | grep -e 9997
cat $SPLUNK_HOME/etc/system/local/inputs.conf
cat $SPLUNK_HOME/etc/system/local/outputs.conf
$SPLUNK_HOME/bin/splunk cmd btool outputs list --debug
————————————————

原文链接:https://blog.csdn.net/zhouzhouruirui/article/details/84820523

分享好友

分享这个小栈给你的朋友们,一起进步吧。

splunk
创建时间:2022-04-29 14:47:46
splunk
展开
订阅须知

• 所有用户可根据关注领域订阅专区或所有专区

• 付费订阅:虚拟交易,一经交易不退款;若特殊情况,可3日内客服咨询

• 专区发布评论属默认订阅所评论专区(除付费小栈外)

技术专家

查看更多
  • gaokeke123
    专家
戳我,来吐槽~