转发器获取
转发器是splunk数据来源之一
centos 7转发器安装
上传转发器到需要转发日志的电脑
tar -zxvf splunkforwarder-8.2.2.1-ae6821b7c64b-Linux-x86_64.tgz #解压转发器
chmod 755 splunkforwarder -R #添加权限
cd splunkforwarder/bin# 进入转发器目录
splunk操作命令:
./splunk start #启动
./splunk restart #重新启动
./spunk stop #停止转发
配置转发文件
cd /opt/splunkforwarder/etc/system/local/ #进入转发器配置功能
vim inputs.conf #创建inputs.conf文件
[default]
host=本机ip地址 #配置在splunk服务器端显示的主机名
[monitor:///var/log/*] #转发路径
sourcetype=apache1 #配置固定的sourcetype
index=panda #配置固定的索引
vim outputs.conf #创建outputs.conf文件
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = splunk平台ip:平台接收端口
[tcpout-server:// splunk平台ip:平台接收端口]
vim deploymentclient.conf
[target-broker:deploymentServer]
targetUri = splunk平台ip:平台接收端口
回到命令目录进行重启服务
cd /opt/splunkforwarder/bin/
./splunk restart
回到splunk平台
键入接收端口
设置索引
回到主界面
转发器安装完成
windows 安装
下载上传splunk 转发器并上传windows server
打开安装
选择安装位置
点击下一步
勾选需要转发的日志文件
设置用户密码
这里设置splunk接收端口9997刚刚用过了这里使用9998
和centos一样 修改splunk配置文件
C:\Program Files\SplunkUniversalForwarder\etc\system\default
打开inputs.conf
添加
sourcetype=BT_WinEventLog
重启服务
打开cmd
进入
C:\Program Files\SplunkUniversalForwarder\bin splunk.exe restart
查看端口启动
到splunk 添加接收端口
为转发器设置索引
选择windows 日志文件位置,这里主要监控防火墙。
对Windows server2019设置防火墙日志
同样操作
转到搜索
转发器到这里安装完成
下一篇安装splunk群集