Splunk
splunk是一个功能强大的日志管理工具。Splunk使用了现代搜索引擎技术对日志进行搜索,同时提供了一个非常强大的AJAX 式的界面展现日志下载安装
下载安装:
http://blog.liuts.com/post/158/
端口:
8000/tcp - Splunk Web interface (Splunk Enterprise and SplunkLight)
8089/tcp - Splunk Services (All Splunk products)
8191/tcp - Application KV Store (Splunk Enterprise)
9997/tcp - Splunk Indexing Port (not used by default) (SplunkEnterprise)
1514 - Network Input (not used by default) (All Splunkproducts)
8088 - HTTP Event Collector
结构图
使用:
以admin和默认的changeme密码登录后
在docker中搭建splunk
https://hub.docker.com/r/outcoldman/splunk/
https://github.com/outcoldman/docker-splunk
docker run -it -d--name vsplunk -v /opt/splunk/etc -v /opt/splunk/var busybox
docker run --hostnamesplunk --name splunk --volumes-from=vsplunk -p 8000:8000 -d --envSPLUNK_START_ARGS="--accept-license" outcoldman/splunk:6.4.1
Forwarder : which will forward logs from syslog to Splunk.
收集日志:
Add Data:
1. 选择数据
2. 指定数据来源的类型
Application(catalina,log4j….) ,Database(mysql,db2).email…….
3. 输入设置
App context:针对特定用例和数据域的splunk实例的配置文件,
Host: 事件来源主机名
Index:帮助用户对配置进行trouble shoot
整合syslog
添加syslog-ng步骤:
在Admin->DataInputs->Network Ports上点选NewInput.选择TCP9998 port, Set Source Type选FormList,Source Type选Syslog,这样的设定就可以给Syslog-ng传log了。
添加syslog步骤:
再重复一次添加syslog-ng的步骤,但是端口要改成UDP514就可以了。
http://blogs.splunk.com/2015/04/30/integrating-splunk-with-docker-coreos-and-journald/