Splunk 分索引器和转发器。类似Server和client的概念。 转发器将本地应用日志生成索引发往服务端。日志统一在服务器侧查看。
Splunk索引器(Server)
设置接受splunk forwarder发送来的数据.
下载splunk软件包,并解压,直接启动即可。
tar -zxvf splunk-4.3.4-136012-Linux-x86_64.tgz -C /opt
cd /opt/splunk/bin
./splunk start
设置开机启动:$SPLUNK_HOME/bin/splunk enable boot-start
检查服务状态:
tcp 0 0 0.0.0.0:18000 0.0.0.0: LISTEN 0 553112836 28537/splunkd
tcp 0 0 0.0.0.0:8089 0.0.0.0: LISTEN 0 553112134 28537/splunkd
Web端口默认8000,浏览器访问:http://192.168.1.2408000
默认账号:admin/changeme
Splunk 分索引器和转发器。类似Server和client的概念。 转发器将本地应用日志生成索引发往服务端。日志统一在服务器侧查看。
Splunk索引器(Server)
设置接受splunk forwarder发送来的数据.
管理器 » 转发和接收 » 接收数据 » 新增
新增服务端监听端口,(用于转发器配置转发地址 IP:Port)
Splunk forwarder客户端
-
当Splunk配置为转发器时,切换成相应的许可证类型。
-
转发器侧配置服务端地址(IP:Port)
管理器 » 转发和接收 » 转发数据 » 新增
命令行操作
1)添加/删除/查看splunk forward-server
复制代码
./splunk add forward-server 192.168.1.1:18000
Added forwarding to: 192.168.1.1:18000.
./splunk list forward-server
Active forwards:
None
Configured but inactive forwards:
192.168.1.1:18000
./splunk remove forward-server 192.168.1.1:18000
Stopped forwarding to: 192.168.1.1:18000.
./splunk list forward-server
Active forwards:
None
Configured but inactive forwards:
None
复制代码
2)配置需要监控的日志文件
复制代码
cd /opt/splunkforwarder/etc/system/local
vim inputs.conf
[default]
host = newtest
[monitor:///usr/local/nginx/logs/error.log]
disabled = false
index = main
sourcetype = nginx_error
/opt/splunkforwarder/bin/splunk start
cd bin/
ps aux | grep splunk
./splunk add forward-server 198.46.145.77:9997
./splunk add forward-server 198.46.145.77:9997 -auth admin:changeme
./splunk list forward-server
./splunk list monitor
./splunk add monitor /home/logs/access.log (添加监控日志)
./splunk add monitor /home/logs/cache.log (同上)
复制代码
注意,修改配置文件后,需要重启splunk forwarder。
小技巧:将不同服务器的同类型日志,指定为同一个sourcetype,则可以通过“来源类型”选项卡合并查看。
转载请注明:SuperIT » Splunk安装教程(以4.3.4版本为例)
