splunk是一款非常优秀的运维管理平台。Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。 使用 Splunking 处理计算机数据,可让您在几分钟内解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及 IT 和业务智能。

splunk 有多种方式来收集数据,这里只介绍其中一种—— HTTP事件收集器

splunk默认的可用索引只有三个:history main summary ,如果有多个项目的日志需要记录,那么只有这三个索引明显是不够的。所以我们需要自定义索引。

有三种方式来创建自定义索引:web网页、命令行、配置文件。

web网页方式,根据web上的提示即可成功创建索引。

命令行方式,比较少用,每次只能用一次,且将命令中的参数写入文件,即可变为配置文件。

配置文件方式,可以重复使用,它参数就是命令行中的参数。

通过docker-compose.yaml可以实现splunk index自动创建、配置.

配置文件如下:

docker-compose.yaml

splunk:

    image: splunk/splunk:latest   #  指定 splunk 镜像

    container_name: splunk     # docker 容器名

    restart: always  # 是否重启

    volumes:

         - ./splunk_dev/data:/opt/splunk/etc  # 数据文件

         - ./splunk_dev/conf:/opt/splunk/var  # 配置文件

         - ./splunk_dev/indexes.conf:/opt/splunk/etc/system/local/indexes.conf   # 映射 indexes.conf 文件,具体内容见下面

         - ./splunk_dev/inputs.conf:/opt/splunk/etc/apps/splunk_httpinput/local/inputs.conf  # 映射 inputs.conf 文件,具体内容见下面

    environment:

          SPLUNK_START_ARGS: --accept-license

          SPLUNK_ENABLE_LISTEN: 9997

          SPLUNK_ADD: tcp 1514

          SPLUNK_CMD_1: "set minfreemb 500 -auth admin:changeme"   # 修改磁盘空间,可用磁盘空间不足500M时,会暂停索引。splunk免费版,这个数要小于等于500,不然报错

          SPLUNK_CMD_2: "edit user admin -tz Asia/Shanghai -auth admin:changeme"  # 修改用户时区,默认使用的零时区,即:当搜索日志时,会发现日志时间要早8个小时

          SPLUNK_CMD_3: "restart" # 重启splunk使上述配置生效

    ports:

         - "8080:8000"  # 配置docker 端口映射   访问 localhost:8000即可访问 splunk网页版

         - "8088:8088"  # 该端口是 HTTP事件收集器 使用的端口


在项目指定目录内创建 indexes.conf 文件,在本例中就是在项目的 splunk_dev 目录下创建的。

该文件的作用是 创建一个自定义的 index

[customer_index]  # index 的名字

homePath=/opt/splunk/var/lib/splunk/customer_index/db/      # 存储路径

coldPath=/opt/splunk/var/lib/splunk/customer_index/colddb/

thawedPath=/opt/splunk/var/lib/splunk/customer_index/thaweddb/


在项目指定目录内创建 inputs.conf 文件,在本例中就是在项目的 splunk_dev 目录下创建的。

该文件的作用是 配置和关联 上面创建的 index

[http]

disabled=0  # 全局启用 HTTP 事件收集器

[http://customer_collecter]   # 指定 index 关联的 HTTP事件收集器的名字 ,splunk 会自动创建该HTTP事件收集器

disabled=0  # 启用该 HTTP 事件收集器 可省略

token=4B28FED9-1FA7-4E67-A426-7B4DFA0A0624   # 指定index 的 token

index=customer_index  # 关联 index

此时通过 docker-compost up -d即可创建splunk ,通过浏览器访问 localhost:8080即可登陆splunk

通过如下命令即可向splunk 发送一条日志,以验证splunk启用成功

curl -k https://localhost:8088/services/collector -H 'Authorization: Splunk 4B28FED9-1FA7-4E67-A426-7B4DFA0A0624' -d '{"sourcetype": "mysourcetype", "event":"Hello, World!"}'

如果想将 splunkdjango结合使用,需要安装 splunk-handler,然后在django 配置文件中添加如下内容:



# logging

LOGGING = {

    'version': 1,

    'formatters': {

        'simple': {

            'format': '%(asctime)s %(levelname)s %(module)s[%(lineno)d] %(message)s'

        },

        'json': {

            '()': 'pythonjsonlogger.jsonlogger.JsonFormatter',

            'format': ('%(asctime)s %(created)f %(exc_info)s %(filename)s %(funcName)s %(levelname)s %(levelno)s '

                       '%(lineno)d %(module)s %(message)s %(pathname)s %(process)s %(processName)s %(relativeCreated)d '

                       '%(thread)s %(threadName)s')

        },

    },

    'handlers': {

        'stdout_console': {

            'level': 'DEBUG',

            'class': 'logging.StreamHandler',

            'stream': sys.stdout,

            'formatter': 'simple',

        },

        'splunk': {

            'level': 'DEBUG',

            'class': 'splunk_handler.SplunkHandler',

            'formatter': 'json',

            'host': '127.0.0.1',

            'port': 8088,

            'token': '4B28FED9-1FA7-4E67-A426-7B4DFA0A0624',

            'index': 'customer_index',

            'sourcetype': 'json',

            'verify': False,

            'multiple_process': True,

        },

    },

    'loggers': {

        'django.request': {

            'handlers': ['stdout_console', 'splunk'],

            'propagate': False,

            'level': 'DEBUG',

        },

        'console_logger': {

            'level': 'DEBUG',

            'handlers': ['stdout_console', 'splunk'],

            'propagate': False

        }

    }

}

splunk + docker-compose 实现自定义 index的更多相关文章

  1. Docker compose学习笔记

    一.compose compose 作用 你的应用可能需要很多个服务,比如web服务,数据库服务,缓存服务等等.我们可以把这些服务放到单独的容器里面,如果手工去配置这些服务会有些麻烦,docker c ...

  2. Docker 核心技术之Docker Compose

    Docker Compose 简介 Docker Compose是什么? Docker Compose是一个能一次性定义和管理多个Docker容器的工具. 详细地说: Compose中定义和启动的每一 ...

  3. 附003.Docker Compose命令详解

    一 Docker Compose命令格式 Usage: docker-compose [-f <arg>...] [options] [COMMAND] [ARGS...] docker- ...

  4. 一文掌握Docker Compose

    目录 Docker Compose介绍 Docker Compose安装 Docker Compose基本示例 1.基本文件及目录设置 2.创建一个Dockerfile 3.通过docker-comp ...

  5. docker——三剑客之Docker Compose

    编排(Orchestration)功能是复杂系统实现灵活可操作性的关键.特别是在Docker应用场景中,编排意味着用户可以灵活的对各种容器资源实现定义和管理. 作为Docker官方编排工具,Compo ...

  6. Docker入门-docker compose的使用

    Compose简介 Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排.其代码目前在https://github.com/docker/compose 上开源. ...

  7. Docker Compose编排工具部署lnmp实践及理论(详细)

    目录 一.理论概述 编排 部署 Compose原理 二.使用docker compose 部署lnmp 三.测试 四.总结 一.理论概述 Docker Compose是一个定义及运行多个Docker容 ...

  8. Docker Compose 项目打包部署

    Docker Compose 前面我们使用 Docker 的时候,定义 Dockerfile 文件,然后使用 docker build.docker run 等命令操作容器.然而微服务架构的应用系统一 ...

  9. 什么,容器太多操作不过来?我选择Docker Compose梭哈

    接上一篇:面试官:你说你精通 Docker,那你来详细说说 Dockerfile 吧 一.容器之间通信 1.单向通信 1.1.什么意思 mysql和tomcat是两个独立的容器,但是tomcat需要和 ...

随机推荐

  1. 第10章 网络安全(5)_访问控制列表ACL

    6. 访问控制列表ACL 6.1 标准访问控制列表 (1)标准ACL ①标准ACL是基于IP数据包的源IP地址作为转发或是拒绝的条件.即,所有的条件都是基于源IP地址的. ②基本不允许或拒绝整个协议组 ...

  2. Python绘制2D图像

    封装了一个简单的2d绘图函数 from matplotlib import pyplot as plt def plot_line(*args, **kw): """ : ...

  3. browserify babel gulp 没有编译import的文件

    1.遇到坑的gulp配置: var gulp = require('gulp'), watch = require('gulp-watch'), babel = require('gulp-babel ...

  4. CS229 7.2 应用机器学习方法的技巧,准确率,召回率与 F值

    建立模型 当使用机器学习的方法来解决问题时,比如垃圾邮件分类等,一般的步骤是这样的: 1)从一个简单的算法入手这样可以很快的实现这个算法,并且可以在交叉验证集上进行测试: 2)画学习曲线以决定是否更多 ...

  5. AS导入项目报错:Plugin with id 'com.android.application' not found.

    从github或第三方Demo中获取的项目导入到AndroidStudio中报错Plugin with id 'com.android.application' not found.:今天导入一个讯飞 ...

  6. Apache服务器下phalcon项目报Mod-Rewrite is not enabled问题

    问题如图: 项目已经按照官网的教程修改了.htaccess文件,仍旧报此错误,判断可能是apache未添加mod_rewrite,通过查询资料,经以下两步解决此问题: 1.执行sudo a2enmod ...

  7. MySQL字符集及校对规则的理解

      阅读目录:MySQL的字符集和校对规则 MySQL的字符集 MySQL与字符集 正确使用字符集 MySQL客户端与字符集 字符集编码转换原理 字符集常见处理操作 字符集的正确实践 MySQL的校对 ...

  8. w3cschool脚本算法编程实战课程

    部分源码==>https://github.com/calamus0427/commonJS 翻转字符串算法挑战 function reverseString(str) { str = str. ...

  9. #151: 每一本正式出版的图书都有一个ISBN号码与之对应,ISBN码包括9位数字、1位识别码和3位分隔符,其规定格式如“x-xxx-x

    试题描述 每一本正式出版的图书都有一个ISBN号码与之对应,ISBN码包括9位数字.1位识别码和3位分隔符,其规定格式如“x-xxx-xxxxx-x”,其中符号“-”是分隔符(键盘上的减号),最后一位 ...

  10. <Linux> 文件夹右下角有锁,解锁

    sudo chown -R $USER 文件夹路径 例如:sudo chown -R $USER ~/scala