Splunk安装部署基础篇

分类: 工具命令 |
一、Splunk简介
Splunk是一个机器数据分析平台,针对所有的IT系统和基础设施数据,提供数据索引,监控和可视化展现。
收集数据源包括:操作系统、网络设备、安全设备和应用程序的日志。
http://s6/mw690/003cus9hzy7jqDE1cfb75&690
二、Splunk功能
它的主要功能包括:
· 日志聚合功能
· 搜索功能
· 提取意义
· 对结果进行分组,联合,拆分和格式化
· 可视化功能
· 电子邮件提醒功能
注:Splunk组件分为4部分:索引器、搜索头、转发器、接收器、应用。
三、Splunk安装部署
1、安装准备
(1)Splunk Enterprise安装包:splunk-6.4.2-00f5bb3fa822-Linux-x86_64.tgz
(2)Splunk 通用转发器安装包:splunkforwarder-6.4.2-00f5bb3fa822-Linux-x86_64.tgz(略)
2、Splunk安装步骤
1)
2)
#注意:splunk的可执行程序都放在/splunk/bin/下,命令我们称之为CLI命令,通用转发器和splunk命令都可以如下执行:
./splunk start --accept-license
./splunk restart
./splunk status
./splunk version
http://s16/mw690/003cus9hzy7jqDEGNszff&690
3)
注:进入splunk默认的管理员为:admin ,密码为changeme,第一登录便会强制要求修改密码。
Splunkd端口8089端为管理端口。
注:splunk含2部分:Splunk Web和Splunkd。
http://s14/mw690/003cus9hzy7jqDFcDYp8d&690
4)配置splunk开机启动
./splunk enable boot-start
这样每次重启服务器,splunk服务都会自动启动。
5)Splunk的卸载
./splunk disable boot-start
./splunk stop
./rm-rf/splunk
3、Splunk通用转发器安装步骤
Splunk转发器的安装方法和splunk一致,但它无UI界面。
1)解压tar zxvf splunkforwarder-6.4.2-00f5bb3fa822-Linux-x86_64.tgz
2)切换到Splunkforwarder的bin目录下去启动通用转发器
./splunk start --accept-license
注意:如果splunk web和通用转发器安装在同一 服务器,通用转发器的管理端口也是8090,则会提示被splunk占用,选择yes修改转发器管理端口,如下:
http://s16/mw690/003cus9hzy7jqDFX9dt3f&690默认密码:admin/changeme
修改密码如下:其中role是角色,auth是验证原密码
./splunk edit user admin -password ‘admin’ -role admin -auth admin:changeme
http://s9/mw690/003cus9hzy7jqDGCbYk58&690通过CLI命令查看splunkd端口
./splunk show splunkd-port
注:这里需要输入splunk的账号密码
http://s14/mw690/003cus9hzy7jqDIhwAd9d&690
./splunk set splunkd-port 8091
注:重启生效
http://s14/mw690/003cus9hzy7jqDJ1peZed&690四、Splunk Web
1)菜单栏
2)Search&Reporting