Splunk安装部署基础篇

Splunk安装（以4.3.4版本为例）

下载splunk软件包，并解压，直接启动即可。

tar -zxvf splunk-4.3.--Linux-x86_64.tgz -C /opt
cd /opt/splunk/bin
./splunk start

设置开机启动：$SPLUNK_HOME/bin/splunk enable boot-start

检查服务状态：

tcp               0.0.0.0:               0.0.0.0:*                   LISTEN                  /splunkd
tcp               0.0.0.0:                0.0.0.0:*                   LISTEN                  /splunkd

Web端口默认8000，浏览器访问：http://192.168.1.2408000

默认账号：admin/changeme

Splunk 分索引器和转发器。类似Server和client的概念。 转发器将本地应用日志生成索引发往服务端。日志统一在服务器侧查看。

Splunk索引器（Server）

设置接受splunk forwarder发送来的数据.

管理器 » 转发和接收 » 接收数据 » 新增

新增服务端监听端口，（用于转发器配置转发地址 IP:Port）

Splunk forwarder客户端

1. 当Splunk配置为转发器时，切换成相应的许可证类型。

2. 转发器侧配置服务端地址（IP:Port）

管理器 » 转发和接收 » 转发数据 » 新增

命令行操作

1）添加/删除/查看splunk forward-server

# ./splunk add forward-server 192.168.1.1:
Added forwarding to: 192.168.1.1:.
# ./splunk list forward-server
Active forwards:
    None
Configured but inactive forwards:
    192.168.1.1:
# ./splunk remove forward-server 192.168.1.1:
Stopped forwarding to: 192.168.1.1:.
# ./splunk list forward-server
Active forwards:
    None
Configured but inactive forwards:
    None

2）配置需要监控的日志文件

# cd /opt/splunkforwarder/etc/system/local
# vim inputs.conf
[default]
host = newtest

[monitor:///usr/local/nginx/logs/error.log]
disabled = false
index = main
sourcetype = nginx_error

# /opt/splunkforwarder/bin/splunk start
著作权归作者所有。
商业转载请联系作者获得授权，非商业转载请注明出处。
作者：gjc159357
链接：http://www.89cool.com/374.html
来源：http://www.89cool.com/

cd bin/
ps aux | grep splunk
./splunk add forward-server 198.46.145.77:9997
./splunk add forward-server 198.46.145.77:9997 -auth admin:changeme
./splunk list forward-server
./splunk list monitor
./splunk add monitor /home/logs/access.log    （添加监控日志）
./splunk add monitor /home/logs/cache.log      （同上）

注意，修改配置文件后，需要重启splunk forwarder。

小技巧：将不同服务器的同类型日志，指定为同一个sourcetype，则可以通过“来源类型”选项卡合并查看。

参考：http://www.cnblogs.com/lmgsanm/p/5398308.html

https://www.splunk.com/zh-hans_cn/view/education/SP-CAAAAH9