一、splunk安装
splunk作为一款专业的大数据分析软件被大家误解为是日志分析软件真是委屈,但是我就是用它来做日志分析的,呵呵~
splunk分为免费版及专业版,专业版提供60的免费使用,但是对流量有限制,每天上线500M,60天后自动转为免费版。
在官网下载安装包https://www.splunk.com/目前最新版本为7.0.0,下载前需要先注册。哦,注册留了自己的手机号,跟客服姐姐聊了很久。
将下载好的包,放入/usr/local/tools/,我的系统为 centos6.9,splunk支持多个系统的安装,根据自己的需要下载安装包即可。
tar -zxvf splunk-7.0.0-c8a78efdd40f-Linux-x86_64.tgz -C /opt:解压缩,指定解压位置/opt
如图1,opt文件夹下生成一个splunk文件,现在splunk就安装好了。
启动splunk:
cd /opt/splunk/bin
./splunk start
设置splunk开机启动
$SPLUNK_HOME/bin/splunk enable boot-start
根据自己的安装位置调整,这边我们的是:/opt/splunk/bin/splunk enable boot-start
至此,splunk服务器搭建完成,可通过http://ip:8000访问。
初始用户名和密码
配置splunk搜索器,设置==》转发和接收==》新增,端口自己设置啦,这里设置默认端口9997,设置完成,服务器搞定,索引以后根据自己的需求慢慢添加。
二、splunk forward安装
windows安装
splunk forward windows版本依然是在官网下载
这里的安装就比较简单了,选择customize options
这里随便选啦!!!!
这里填写搜索器的ip加默认端口吧,如果搜索器和转发器在一台上就需要修改。
这个呢,要在转发器上提前配置好端口
到这里不用管了,安装好了
接下来
cmd 进入命令行
cd$SPLUNKFORWARD_HOME/bin
splunk.exe add forward-server 172.16.11.247:9997
用户名密码就是你在搜索器上设置的,9997自己在搜索器上设置
重启一遍服务
然后日志就同步上了,主机名什么的,不会。。。不会我也不告诉你,自己查。。。。
splunk forward linux安装
官网下载安装包,安装基本上与splunk类似
创建一个splunk文件,放进安装包
mkdir splunk
tar -zxvf splunkforwarder-7.0.0-c8a78efdd40f-Linux-x86_64.tgz
cd$SPLUNKFORWARD_HOME/bin
启动
./splunk start
./splunk enable boot-start
修改客户端的密码:./splunk edit user admin -password '新密码’ -role admin -auth admin:changeme
配置通用转发器装发的服务器和端口(发送的服务器和端口):
./splunk add forward-server 172.16.11.247:9997
注册客户端到服务器:./splunk set deploy-poll server_ip:8089
查看默认的监控目录:./splunk list monitor
监控一个目录:./splunk add m
安装完成,可以愉快的收日志了。
splunk的第一次配置之路,over!
