Splunk 结构及常用命令

• splunk 基本安装

设置用户及密码 spluk/Splunk123$

启动splunk  /app/splunk/splunkforwarder/bin/splunk start

添加forward /app/splunk/splunkforwarder/bin/splunk add forward-server 10.164.2.84:9997

添加deploy /app/splunk/splunkforwarder/bin/splunk set deploy-poll 10.164.2.112:8089

配置开机自启 /app/splunk/splunkforwarder/bin/splunk enable boot-start

删除用户 ./splunk remove  user "splunk"

添加用户 ./splunk add user "splunk" -password "Splunk123$" -role "admin"

 

 splunk配置文件

常见问题和解决办法

1、告警定位

     页面搜索：搜索、报表和告警页面；任务页面；触发的告警页面。

2、数据乱码

     由于转发数据时未配置编码，可在转发器props.conf 配置：

        [sourcetype_name]

        CHARSET=UTF-8

3、邮件发送失败

     a网络是否连通;b，邮箱服务器配置是否正确;c是否触发，d是否设置限制触发

4、转发数据失败

   a)检查网络（⽹络中断）和权限、（磁盘已满）（计算机故障）,

      b)inputs.conf和outputs.conf配置文件检查路径

      c)检查文件类型crcSalt = <SOURCE>

5、数据不全,包括搜索结果、PDF计划、邮箱附件

      a)搜索结果：设置了预览模式（timeline_events_preview），搜索语句maxcount、searchresults

      b)PDF 交付计划要求以下功能。schedule_search，admin_all_objects（此功能仅当邮件主机需要登录凭据时需要）

     c)邮箱附件数据alerts_max_count（最大告警保存数）;|sendemail maxinputs=<int>, action.email.maxresults = <integer>默认10000； limits.conf->[searchresults]->maxresultrows，默认50000

6、数据量大，搜索慢

      a)增加条件，减少搜索范围

      b)避免使用运行较慢命令，如transaction,过多子搜索

      c)创建数据摘要：有三种方式

           报表加速 - 使⽤⾃动创建的摘要来加速某些类型报表的完成时间。

           数据模型加速 - 使⽤⾃动创建的摘要来加速数据透视表的完成时间。

           摘要索引 - 通过⼿动创建独⽴于主索引的单独摘要索引实现搜索和报表加速。

           注意：加速可能会提高存储和处理成本