Splunk目录结构及常用配置文件
并没有将所有目录罗列出来,了解了解个别文件目录,知道一下功能混个面熟
- $SPLUNK_HOME目录:这是Splunk安装目录的根路径,一般是/opt/splunk,其中包含Splunk的配置文件、日志文件、插件和其他资源。
- $SPLUNK_HOME/bin 目录:该目录下存放着Splunk常用的命令和自动化脚本。
- $SPLUNK_HOME/etc 目录:这是Splunk的配置文件和应用程序目录,包含了大部分Splunk的配置信息和自定义应用程序。例如splunk-launch.conf文件中指定了Splunk保护进程名为Splunkd
- $SPLUNK_HOME/etc/system/local 目录:
包含本地(优先级最高)配置文件,可以覆盖全局设置。
常见配置文件:- inputs.conf:定义数据输入方式,如监控日志文件或接收网络数据。
- outputs.conf:配置数据的输出目标,如发送到其他Splunk实例或存储到索引中。
- props.conf:定义数据解析、字段提取和事件处理规则。
- transforms.conf:定义字段转换规则和数据重命名规则。
- $SPLUNK_HOME/etc/apps 目录:包含Splunk应用程序,这些应用程序可以添加功能、面板、仪表板和报告。通常,每个应用程序都有自己的目录,包含其配置文件和资源。
- $SPLUNK_HOME/var 目录:包含Splunk运行时数据,如索引数据、日志文件和Splunk状态信息。
- $SPLUNK_HOME/var/lib/splunk 目录:包含索引数据。
- $SPLUNK_HOME/var/log 目录:包含Splunk日志文件。
- $SPLUNK_HOME/var/run 目录:包含Splunk进程的运行时文件。
- $SPLUNK_HOME/etc/system/default 目录:包含Splunk的默认配置文件,这些文件提供了系统默认值,可以被本地配置文件覆盖。
- $SPLUNK_HOME/etc/system/local 目录:包含Splunk的本地配置文件,这些文件的设置将覆盖默认设置。
- $SPLUNK_HOME/etc/licenses 目录:包含Splunk的许可证文件,用于管理和授权Splunk的功能。
- $SPLUNK_HOME/bin 目录:包含Splunk的可执行文件,如splunk命令行工具。
- $SPLUNK_HOME/user 目录:包含用户自定义的内容,如搜索查询、仪表板和报告。