文章目录
提示:以下是本篇文章正文内容,下面案例可供参考
一、splunk介绍
splunk官方文档:https://www.splunk.com/
1.什么是splunk
Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。 使用 Splunking 处理计算机数据,可让您在几分钟内解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及 IT 和业务智能。
基础设施监控和故障排除
应用程序性能监控
日志调查
数字体验监控
简化事件响应
满足可观察性要求
2.安装splunk
2.1安装
下载地址(windows,linux)
https://www.splunk.com/zh_cn/download/splunk-enterprise.html
Linux安装说明:
Windows安装方式
2.2启动(这里只讲解linux中启动splunk)
如果安装到默认路径,splunk会自动安装到在/opt/splunk下
进入到bin目录
cd /opt/splunk/bin/
执行 ./splunk start 启动程序
./splunk start
如果是第一次启动splunk那么要创建一个用户
注意:Splunk 软件必须在启动期间创建管理员帐户。否则,您将无法登录。
输入用户名和密码(密码的长度至少8位)
出现这个则启动成功
web端默认端口号8000,splunk默认端口8089
您可以将SPLUNK_HOME环境变量设置为 Splunk Enterprise 安装目录。设置环境变量可以让您稍后参考安装目录,而无需记住其确切位置:
export SPLUNK_HOME=/opt/splunk/
cd $SPLUNK_HOME/bin
再次启动的命令:(bin目录下执行)
$ ./splunk stop
$ ./splunk restart
$ ./splunk status
./splunk set splunkd-port 8090 //设置管理端口
./splunk set web-port 8001 //设置WEB端口
登录splunk web,输入设置好的账号密码
http://IP:8000/
3.添加数据
3.1splunk支持哪些数据
3.2下载官网上的教程数据
如果有合适的数据可以使用自己的数据,第一次使用splunk建议下载官网数据进行搜索功能的测试
下载教程数据地址:
https://docs.splunk.com/Documentation/Splunk/8.2.4/SearchTutorial/Systemrequirements#Download_the_tutorial_data_files
教程数据包括什么:
教程数据文件每天更新,包含前 7 天的时间戳事件。教程数据包含关于虚构在线商店 Buttercup Games 的几种类型的信息。
这些信息包括来自邮件服务器和 Web 帐户的 access.log 文件、secure.log 文件和 vendor_sales.log 文件。
3.3数据存储在哪里
转换数据的过程称为索引。在索引期间,传入的数据被处理以实现快速搜索和分析。处理后的结果作为事件存储在索引中。
索引是数据的平面文件存储库。对于本教程,索引位于您访问 Splunk 部署的计算机上。
事件作为一组文件存储在索引中,这些文件分为两类:
1.原始数据,即您添加到 Splunk 部署的数据。原始数据以压缩格式存储。
2.索引文件,其中包括一些指向原始数据的元数据文件。
这些文件驻留在称为buckets的目录集中,这些目录按年龄组织。
默认情况下,您的所有数据都放入一个名为main的预配置索引中。当您将数据添加到 Splunk 实例时,您可以创建索引来存储数据。还有一些其他索引用于内部目的。
3.4添加数据
登陆到splunk(8000端口)页面
引入前面下载好的教程数据(不进行解压)
由于您指定了压缩文件,Splunk 软件会识别该类型的数据源。跳过添加数据向导中的设置源类型步骤。当您加载不在压缩文件中的数据时,系统会要求您设置数据源类型。
tutorialdata.zip下的文件目录:
access.log
3.4splunk的常规设置
可以查看splunk的常规设置,也可进行常规设置的修改,例如修改端口等
例子:splunk是否启用SSL(是否使用https)
二、splunk搜索功能
1.搜索界面视图介绍
Splunk Cloud Platform 和 Splunk Enterprise 中的搜索摘要视图几乎相同。
下图显示了 Splunk Cloud Platform 中的搜索摘要视图。