splunk 集群索引服务器容量满了以后,为了防止数据丢失,需要对旧数据进行归档保存。
0x01 原理
指定一台大容量服务器,创建共享文件夹,并将集群里的所有indexer指向这个归档共享目录。
0x02 实施
集群的每个indexer都有一个用户用于启动splunk服务,一般命名为splunk,uid一般是固定的,例如1000。需要在归档服务器新建一个用户:
groupadd splunkArchived -g 1000
useradd splunkArchived -u 1000 -g 1000 -s /sbin/nologin -d /dev/null
smbpasswd -a splunkArchived
passXXX
1.方法一:创建smb共享 (失败)
CentOS 7 无网络安装samba_centos samba离线安装_我不是阿鬼的博客-CSDN博客
yum install yum-utils -y 安装 yumdownloader
rpm --import /etc/pki/rpm-gpg/RPM*
rpm -ivh ./* --force --nodeps
还需要再装一个gnutls包; yum install gnutls
use the command pdbedit -L to view a list of all the SAMBA users.
setfacl -m u:splunk:rwx /opt/frozenarchive/
pdbedit -x user 删除smb用户;
给用户添加写权限,或者用ACL单独给刚刚创建的splunkArchived用户添加权限
setfacl -m u:splunkArchived:rwx /opt/frozenarchive/
mount /t 临时挂载
mount -t cifs //10.10.X.X/share -o username=root,password=123,vers=1.0,iocharset=utf8,x-systemd.automount /frozen
systemctl daemon-reload 使修改的配置生效
在测试环境试验成功,但在linux集群里没有写的权限,最后无奈放弃。
2.方法二:创建nfs共享
yum install nfs-utils rpcbind
vim /etc/exports (限制只有白名单ip才可以访问共享)
/opt/frozenarchive 10.10.17.0/24(rw,async,no_root_squash,no_subtree_check)
systemctl start nfs-utils systemctl start rpcbind systemctl restart nfs
systemctl enable nfs 开机自启动
挂载客户端需要安装 nfs:yum install nfs-utils
客户端临时挂载:
mount 10.10.X.X:/opt/frozenarchive /frozenarchive
永久挂载:
vim /etc/fstab
10.10.17.107:/opt/frozenarchive /frozenarchive nfs defaults,_netdev 0 0
(_netdev 表示挂载设备需要网络)
showmount -e //显示已挂载设备
umount /frozenarchive //卸载目录
chown splunk:splunk /frozenarchive // 给目录分配用户和组的权限
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!