安全运维 -- splunk 一键部署agent

已于 2024-07-20 00:37:50 修改
阅读量1.5w 收藏
点赞数 1
分类专栏: 安全运维 SIEM splunk 文章标签: 运维 splunk 网络安全
于 2024-06-30 22:45:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/140087980
版权
SIEM 同时被 3 个专栏收录
12 篇文章 1 订阅
订阅专栏
安全运维
11 篇文章 0 订阅
订阅专栏
splunk
1 篇文章 0 订阅
订阅专栏

0x00 linux

tar -zxvf splunkforwarder-8.0.3-a6754d8441bf-Linux-x86_64.tgz -C /opt
/opt/splunkforwarder/bin/splunk start --accept-license --answer-yes --no-prompt --seed-passwd <password>
mkdir -p /opt/splunkforwarder/etc/apps/yourcompany_all_deploymentclient/local
cat > /opt/splunkforwarder/etc/apps/yourcompany_all_deploymentclient/local/deploymentclient.conf<<EOF
[deployment-client]
[target-broker:deploymentServer]
targetUri = ds_ip:8089
EOF
/opt/splunkforwarder/bin/splunk restart
/opt/splunkforwarder/bin/splunk enable boot-start

如果想修改默认端口:

tar -zxvf splunkforwarder-8.0.3-a6754d8441bf-Linux-x86_64.tgz -C /opt
/opt/splunkforwarder/bin/splunk start --accept-license --answer-yes --no-prompt --seed-passwd <password>
mkdir -p /opt/splunkforwarder/etc/apps/yourcompany_all_deploymentclient/local
cat > /opt/splunkforwarder/etc/apps/yourcompany_all_deploymentclient/local/deploymentclient.conf<<EOF
[deployment-client]
[target-broker:deploymentServer]
targetUri = ds_ip:8089
EOF
/opt/splunkforwarder/bin/splunk start
cat > /opt/splunkforwarder/etc/system/local/web.conf<<EOF
[settings]
mgmtHostPort = 127.0.0.1:18888
EOF
/opt/splunkforwarder/bin/splunk restart
/opt/splunkforwarder/bin/splunk enable boot-start

如果想在agent增加一个自定义配置:

tar -zxvf splunkforwarder-8.0.3-a6754d8441bf-Linux-x86_64.tgz -C /opt
/opt/splunkforwarder/bin/splunk start --accept-license --answer-yes --no-prompt --seed-passwd <password>
mkdir -p /opt/splunkforwarder/etc/apps/yourcompany_all_deploymentclient/local
cat > /opt/splunkforwarder/etc/apps/yourcompany_all_deploymentclient/local/deploymentclient.conf<<EOF
[deployment-client]
[target-broker:deploymentServer]
targetUri = ds_ip:8089
EOF
#mkdir -p /opt/splunkforwarder/etc/apps/yourcompany_linux_firewall_inputs/local
#cat > /opt/splunkforwarder/etc/apps/yourcompany_linux_firewall_inputs/local/inputs.conf<<EOF
#[monitor:///var/log/firewalld.log]
#disabled=0
#index = yourcompany_linuxfirewalllog
#EOF
/opt/splunkforwarder/bin/splunk restart
/opt/splunkforwarder/bin/splunk enable boot-start

0x01 windows

msiexec -i splunkforwarder-8.0.3-a6754d8441bf-x64-release.msi SPLUNKUSERNAME=admin SPLUNKPASSWORD=<pass> AGREETOLICENSE=Yes /quiet
set "path1=%programfiles%\SplunkUniversalForwarder\etc\apps\yourcompany_all_deploymentclient\local"
mkdir "%path1%" & echo. > "%path1%\deploymentclient.conf" & echo [deployment-client] > "%path1%\deploymentclient.conf" & echo [target-broker:deploymentServer] >> "%path1%\deploymentclient.conf" & echo targetUri = ds_ip:8089 >> "%path1%\deploymentclient.conf"
::set "path2=%programfiles%\SplunkUniversalForwarder\etc\apps\yourcompany_nginx\local"
::mkdir "%path2%" & echo [monitor://C:\logs\access.log] > "%path2%\inputs.conf" & echo index = yourcompany_nginx >> "%path2%\inputs.conf" & echo sourcetype = nginx:plus:access >> "%path2%\inputs.conf" & echo crcSalt = ^<SOURCE^> >> "%path2%\inputs.conf"

0x02 后记

1、如果密码设置过于简单,会导致密码不通过验证,由于是 /quiet 会导致看不到报错,部署失败导致无法上线DS。

2、如果linux主机名未设置,保持为默认的 localhost,则会导致linux机器无法上线DS。

3、根据实际分析网络情况,例如我的环境有些windows电脑未加域,防火墙开启,ip被拦截。

需要手动添加防火墙规则:

netsh firewall show state
netsh advfirewall firewall add rule name="splunk" dir=out action=allow protocol=TCP remoteip=<ds_ip> remoteport=8089

然后重启agent即可。

leeezp
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Splunk 使用脚本收集远程系统信息
smilinggg的博客
03-28 491
Splunk远程抓取系统数据
splunk的通用forwarder 配置问题
豆之助
04-20 3933
splunk的通用forwarder在hostname是local时,是不会向splunk enterprise发送心跳信号的,配置的时候需要注意,这种情况必须修改主机名
splunk与日志分析
allinallp的博客
06-09 4043
splunk与日志分析splunk的使用splunk配置日志字段提取日志分析场景已知ip,查看行为 splunk的使用 在安全服务的多种场景下,我们都离不开日志分析这项工作,特别是在应急与溯源的过程中,日志分析成为快速定位问题的重要方式。轻量级的日志分析我们通常使用文本编辑器或者excel等具备简单筛选功能的工具进行查看,但是对于大量级的日志分析,在很多场景下这些工具不再适用,下面我将介绍splunk这款工具在日常应急及溯源工作中使用的一些思路。 splunk配置 打开splunk选择search&
使用Splunk监控远端
huangyingleo的博客
01-09 6496
Splunk 实例 远程监控 虚拟机
logstash+ElasticSearch+Kibana VS Splunk
系统运维
09-25 234
最近帮磊哥移植一套开源的日志管理软件,为了就是替代原来牛B的但是昂贵的SplunkSplunk是一个功能强大的日志管理工具,它不仅可以用多种方式来添加日志,生产图形化报表,最厉害的是它的搜索功能 - 被称为“Google for IT”。Splunk有免费和收费版,最主要的差别在于每天的索引容量大小(索引是搜索功能的基础),免费版每天最大为500M。在使用免费版时,如果在30天之内,有...
安全基本指南-ueba-splunk.pdf
12-10
安全基本指南-ueba-splunk.pdf
splunk-add-on:Splunk的QuoLab附加组件
03-18
Splunk的QuoLab附加组件 来源类型 来源类型 目的 命令:quolabquery 与自定义QuoLab SPL命令相关的内部日志和统计信息。 故障排除 启用调试日志记录: | quolabquery logging_level=DEBUG query=... 内部/脚本错误...
vim-splunk:Splunk .conf文件的语法突出显示
05-26
Splunk .conf文件的语法突出显示该项目是无牌的。 如果您想贡献,请分叉此存储库,并通过Github提交拉取请求,或给我发电子邮件:gmail dot com的colbyw。 感谢这个项目的许多贡献者。 从7.0分支开始,主提交cbe67eb...
TA-pinsafe:Splunk的可旋转安全PINsafe插件
02-15
适用于Splunk的PINPIN旋转附件 文献资料 可以在以下位置找到文档: :
splunk-app-proper-alerts:Splunk应用程序可跟踪配置的警报
05-27
这些应用程序必须部署到您的搜索头: 部署步骤 通过Open in Search单击“ Open in Search从“报告”选项卡启动Update KV Store查找。 验证活动警报在清单仪表板中列出 [OPT]调整getServiceRequest宏以从警报的描述...
splunkforwarder - 8.0.5 - linux.zip
09-16
Splunk通用转发器安装文件,版本:8.0.5,适用于Linux。 转发器可以从远程来源快速、安全地收集数据,从各种来源(包括其他转发器)收集数据,并将其发送到Splunk部署。使用通用转发器将数据无缝发送到Splunk Enterprise、Splunk Cloud或Splunk Light。
splunk 日志分析_10种用于日志分析的Splunk替代品
科技博客的分析“工具人”
07-10 913
splunk 日志分析 快! 命名日志分析服务。 如果从您的嘴里突然冒出的第一个单词是“ Splunk”,那么您并不孤单。 但是Splunk的成功激发了许多其他人(无论是开源的还是商业的)进行日志分析游戏的。 这里有很多竞争者,从服务到开源堆栈,都为系统管理员和开发人员提供了很多服务。 [InfoWorld的要点: 什么是大数据分析? 您需要了解的所有内容 • 什么是数据挖掘? 分析如何...
Splunk智能运维实战》——2.4 找出最常使用的Web浏览器
weixin_34324081的博客
05-02 150
本节书摘来自华章计算机《Splunk智能运维实战》一书中的第2章,第2.4节,作者 [美]乔史·戴昆(Josh Diakun),保罗R.约翰逊(Paul R. Johnson),德莱克·默克(Derek Mock),译 宫鑫,康宁,刘法宗 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。 2.4 找出最常使用的Web浏览器 用户会使用各种设备和浏...
splunk日志监控利器
weixin_34179968的博客
03-04 380
日志处理引擎SPLUNKSplunk分为免费Free版和企业Enterprise版。SplunkFree专供个人使用。SplunkEnterprise添加了支持多用户和分布式部署的功能,并包括警报、基于角色的安全、单一登录、预设的PDF 交付以及对无限数据量的支持。你可以使用浏览器访问http://zh-hans.splunk.com/download下载最新版的Splunk...
Splunk添加微信告警(转载)
weixin_34406086的博客
01-11 785
Splunk实现微信告警 由于微信的实时推送与便捷阅读,越来越多的人在使用监控软件时将告警对接微信。下面分享下如何将splunk的告警信息推送到企业微信。 通过学习splunk《告警手册》(url:http://docs.splunk.com/images/0/09/Splunk-7.0.0-Alert-zh...
大数据时代的全能日志分析专家--Splunk安装与实践
weixin_34067102的博客
09-03 316
大数据时代的全能日志分析专家--Splunk安装与实践0.背  景随着大家对网络安全意识的提高,企业网管理人员,必须对IT基础设置进行监控及安全事件的管理,管理数据的数量和种类非常巨大,那么就需要有一款能否分析各种日志数据的工具,经过长期实践,为大家推荐Splunk这么一款全能型分析工具。1.Splunk简介Splunk是一款功能强大的、记录详细的日志分析软件,Splunk是基于原始日志数据(Ra...
Splunk实战(一)——索引器配置以及转发器安装配置说明
weixin_34318956的博客
03-08 1381
RipZ · 2016/05/30 10:360x00 前言本文将以连载的形式分享splunk在实战中的运用:从索引器&amp;转发器的安装部署开始,到普通搜索&amp;字段提取,再到报表&amp;仪表盘定制以及告警等,详细的写出作者在实战中的经验(其实是遇到的坑),让大家看完之后可以少走些弯路。0x01 Splunk简述什么是SplunkSplunk是机器数据的引擎。使用 Splunk 可收集...
Splunk系列:Splunk数据导入篇(二)
11-15 6561
一、简单概述 splunk支持多种多样的数据源,支持上传文件,监控本地的文件,配置通用转发器等方式。所有的设置基本上都可以通过Web页面、splunk CLI命令和直接修改配置文件(需重启splunk生效)三种方式。 最常见的两种场景,比如收集syslog 日志以及使用通用转发器(Agent)收集数据,我们来做一个简单的应用示例吧。 二、应用实例:收集syslog日志 2.1、Linuxrsy...
Splunk大数据分析经验分享:从入门到夺门而逃
weixin_33701564的博客
04-25 3552
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值