splunk⽇志分析系统搭建,部署,配置
本⼈对splunk了解不多,只限于使⽤及简单部署配置。搭建splunk之前需要先下载软件。
下载⽅式:
1. 官⽹下载
如果你是第⼀次访问 Splunk ⽹站,需要先注册⼀个 Splunk ⽤户,默认下载的是 60 天 Enterpri 试⽤版, 60 天试⽤之后将⾃动转化为 Free 版,转化位 Free 版后每⽇处理的⽇志量最⾼位 500M 。种子贴画
2. 链接下载
splunkrver搭建
1.上传软件压缩包到服务器上
2.解压软件安装
tar zxvf splunk-8.1.1-08187535c166-Linux-x86_64 (1).tgz -C /opt
3.进⼊splunk安装⽬录
cd /opt/splunk/bin
./splunk start--accept-licen //启动并同意splunk协议
./splunk enable boot-start--accept-licen //⽣成/etc/init.d/splunk 启动脚本,以后就可以这样启动了
注意:启动时会让你设置初始⽤户名和密码。
./splunk show splunkd-port //查看端⼝
./splunk t splunkd-port 8888 //设置端⼝
netstat -antple | grep splunk
tcp 0 0 0.0.0.0:8089 0.0.0.0:* LISTEN 0 10651 1582/splunkd
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 0 11711 1582/splunkd
中国公认十大美男
建⽴索引,每个索引代表⼀个应⽤的⽇志
splunkforwarder安装配置
牛顿的小故事其实步骤跟splunk⼀样
1.上传软件压缩包到服务器上
生产物流
2.解压软件安装
tar zxvf splunkforwarder-8.1. -C /opt
家常凉拌黄瓜3.进⼊splunkforwarder安装⽬录
cd /opt/splunkforwarder/bin
./splunk start--accept-licen //启动并同意splunk协议
./splunk enable boot-start--accept-licen //⽣成/etc/init.d/splunk 启动脚本,以后就可以这样启动了
注意:如果splunk 服务和通⽤转发器安装在同⼀台服务器,通⽤转发器的管理端⼝也是8090,会有冲突,有冲突的时候会提⽰,选择yes,修改端⼝即可。
以下命令都是bin⽬录下执⾏学龄前教育
./splunk add forward-rver rver_ip:9997 //设置客户端的输出(发送的服务器和端⼝)
./splunk list forward-rver //查看你的输出设置
./splunk t deploy-poll rver_ip:8089 //注册客户端到服务器
./splunk add monitor /opt/product/data/bblive/logs/schedule.log //监控⽇志的⽬录或者⽂件
以上客户端的输⼊和输出配置也可以通过修改他的配置⽂件来⽣效。
host = 192.168.10.201 #此处为默认的,服务器的名字巴望的意思
//⽇志⽂件路径,可以使⽤正则表达式
口各读什么
index = ykd-upms //对应splunk web端设置的索引
sourcetype = sourceName //数据类型可以不设置
disabled = fal //开启⾃动同步
//有多个可以复制上⾯三⾏追加到后⾯
index = ykd-gateway
disabled = fal
index = ykd-auth
disabled = fal
defaultGroup = default-autolb-group
rver = 192.168.10.201:9997
配置修改需要重启客户端。配置好后web的搜索界⾯看到索引的⽬录⾥⾯的⽇志⽂件了。./splunk restart
