安全运维 -- splunk 集群配置归档

于 2024-05-14 10:54:53 发布
阅读量346 收藏 5
点赞数 4
分类专栏: 程序员 文章标签: 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969231/article/details/138845613
版权

splunk 集群索引服务器容量满了以后,为了防止数据丢失,需要对旧数据进行归档保存。

0x01 原理

指定一台大容量服务器,创建共享文件夹,并将集群里的所有indexer指向这个归档共享目录。

0x02 实施

集群的每个indexer都有一个用户用于启动splunk服务,一般命名为splunk,uid一般是固定的,例如1000。需要在归档服务器新建一个用户:

groupadd splunkArchived -g 1000
useradd splunkArchived -u 1000 -g 1000 -s /sbin/nologin -d /dev/null
smbpasswd -a splunkArchived
passXXX

1.方法一:创建smb共享 (失败)

CentOS 7 无网络安装samba_centos samba离线安装_我不是阿鬼的博客-CSDN博客

yum install yum-utils -y  安装 yumdownloader

rpm --import /etc/pki/rpm-gpg/RPM*

rpm -ivh ./* --force --nodeps

还需要再装一个gnutls包; yum install gnutls

use the command pdbedit -L to view a list of all the SAMBA users.
setfacl -m u:splunk:rwx /opt/frozenarchive/
pdbedit -x user 删除smb用户;

给用户添加写权限,或者用ACL单独给刚刚创建的splunkArchived用户添加权限
setfacl -m u:splunkArchived:rwx /opt/frozenarchive/

mount /t  临时挂载

mount -t cifs //10.10.X.X/share -o username=root,password=123,vers=1.0,iocharset=utf8,x-systemd.automount /frozen

systemctl  daemon-reload   使修改的配置生效
在测试环境试验成功,但在linux集群里没有写的权限,最后无奈放弃。

2.方法二:创建nfs共享

yum install nfs-utils rpcbind

vim /etc/exports  (限制只有白名单ip才可以访问共享)

/opt/frozenarchive 10.10.17.0/24(rw,async,no_root_squash,no_subtree_check)

systemctl start nfs-utils                                                                                                              systemctl start rpcbind                                                                                                               systemctl restart nfs

systemctl enable nfs  开机自启动

挂载客户端需要安装 nfs:yum install nfs-utils

客户端临时挂载:
mount 10.10.X.X:/opt/frozenarchive /frozenarchive

永久挂载:
vim /etc/fstab

10.10.17.107:/opt/frozenarchive /frozenarchive nfs defaults,_netdev    0  0

(_netdev  表示挂载设备需要网络)

showmount -e        //显示已挂载设备

umount /frozenarchive   //卸载目录

chown splunk:splunk /frozenarchive   // 给目录分配用户和组的权限

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84969231
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
部署splunk-cluster (含 故障排除)
shenghuiping2001的专栏
11-13 769
服务器列表: No hostname IP function 1 cm01 172.18.0.2 Clustering master server 2 sh01 172.18.0.3 Search head ser
基于云计算的自动化部署与自动化运维:提高运维效率
禅与计算机程序设计艺术
07-23 1749
随着互联网技术的飞速发展,网站流量日益增长,用户对网站功能及其可用性的需求也越来越高,越来越多的人开始担忧网站的安全和稳定性。因此,如何快速、准确地处理网站故障、迅速恢复网站服务并保障网站高可用,成为企业必须重点关注的问题之一。云计算技术正在改变IT的运营模式和组织架构,通过虚拟化技术和分布式架构实现了资源池共享,降低了成本和硬件维护费用,提升了业务敏捷性。基于这一新兴技术,云计算平台已成为解决此类问题的重要方式。
splunk-aws-cloudformation, 用于Splunk分布式集群部署的AWS CloudFormation模板.zip
10-10
splunk-aws-cloudformation, 用于Splunk分布式集群部署的AWS CloudFormation模板 Splunk AWS CloudFormation部署预先配置Splunk单实例或者分布式集群的Easy-to-use AWS CloudFormation模板。单击所需配置以获得更多详细信息:目录说明单节点节点带有
splunk集群
信安是不可或缺的一部分!
09-23 1万+
环境准备 使用centos7mst作为主节点,node2作为备用节点。 搭建两台splunk平台 mst 操作
利用Splunk收集集群日志
xymyeah
04-12 6965
利用Splunk收集集群日志
Splunk5 安装包
08-16
- **App和插件**:丰富的应用市场,提供预配置的解决方案,如安全监控、IT运维、应用程序性能管理等。 7. **最佳实践**: - 定期清理和归档旧数据,以保持良好的性能和存储效率。 - 使用索引预处理和事件拆分...
Splunk 体系介绍
热门推荐
ffjl1985的专栏
11-08 1万+
Splunk总体介绍 Splunk是什么     Splunk是一个分析计算机系统产生的机器数据,并在广泛的场景中提供数据收集、分析、可视化分布式的数据计算平台。 Splunk 是一个数据引擎。 针对所有IT系统和基础设施数据, 提供数据搜索、报表和可视化展现。 Splunk是软件 – 5分钟就可以下载和安装。 可以运行在各种主流的操作系统平台。  Splunk做什么
SQL数据库日志清理自动化大全:解放运维压力,提升效率
![SQL数据库日志清理自动化大全:解放运维压力,提升效率]...SQL数据库日志记录了数据库操作和事件,对于故障排除、性能分析和安全审计至关重要。日志文件包含各种信息,包
架构师必知必会系列:分布式系统与微服务架构
禅与计算机程序设计艺术
09-28 849
作者:禅与计算机程序设计艺术 1.简介 微服务架构作为当下最热门的架构模式之一,越来越受到开发者和公司的青睐。如何设计、构建和维护一个高可靠、易扩展、弹性伸缩的微服务架构是一个值得深入研究的话题。为了帮助大家快速理解和掌握微服务架构,下面将以分布式系统为基础,结合实际案例进行阐述。 本文共
splunk技术系列-5
11-23
Splunk圈套学习资料,学习了解机器数据学习的好资料,希望对大家有帮助。
splunk分布式日志收集和搜索
04-09
分布式 搜索 日志收集分布式 搜索 日志收集分布式 搜索 日志收集
Splunk 配置集群 index
shenghuiping2001的专栏
07-16 463
splunk search head 可以管理多个集群的index, 把多个集群的CM : URL 写进 server.conf
记录一下成功部署 Splunk UBA 集群
shenghuiping2001的专栏
11-18 730
成功安装Splunk UBA 集群。OVA 安装还是很方便的。
Splunk分布式部署简介
最新发布
qq_57403020的博客
10-24 582
Splunk Enterprise分布式部署概述 第一节 使用 Splunk Enterprise 组件扩展部署 在单实例部署中,Splunk Enterprise 的一个实例处理数据的所有方面,从输入到索引再到搜索。单实例部署可用于测试和评估目的,并能满足部门级规模的环境的需求。 但是,为了支持更大的环境,其中许多计算机都会生产数据,并且许多用户都需要搜索数据,可以通过在多台计算机上分布式部署Splunk Enterprise 实例。进行分布式部署时,要配置各个实例以便每个实例执行专门的任务。例
Splunk学习与实践
hl1293348082的专栏
04-10 1520
1、Splunk公司与产品 美国Splunk公司,成立于2004年,2012年纳斯达克上市,第一家大数据上市公司,荣获众多奖项和殊荣。总部位于美国旧金山,伦敦为国际总部,香港设有亚太支持中心,上海设有海外第一个研发中心。 产品:Splunk Enterprise【企业版】、Splunk Free【免费版】、Splunk Cloud、Splunk Hunk【大数据分析平台】、Splunk Apps【基于企业版的插件】等。企业版按索引的数据量收费,免费版每天最大数据索引量500MB,可使用绝大多数企业版功.
网络安全splunk“详细配置
虚心学习,脚踏实地
06-23 964
splunk详细配置
Splunk安装配置和基础运维
安全解决方案
05-24 1439
Splunk 社区 ,包括白皮书,各类手册,资源下载,社区问答等Splunk 入门指南 | Splunk数据可视化工具Splunk Enterprise免费下载 | Splunk
大数据搜索选开源还是商业软件?ElasticSearch 对比 Splunk
weixin_34326429的博客
05-02 900
本文就架构,功能,产品线,概念等方面就ElasticSearch和Splunk做了一下全方位的对比,希望能够大家在制定大数据搜索方案的时候有所帮助。 简介 ElasticSearch (1)(2)是一个基于Lucene的开源搜索服务。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值