日志处理引擎SPLUNK
Splunk分为免费Free版和企业Enterprise版。SplunkFree专供个人使用。SplunkEnterprise添加了支持多用户和分布式部署的功能,并包括警报、基于角色的安全、单一登录、预设的PDF交付以及对无限数据量的支持。
你可以使用浏览器访问http://zh-hans.splunk.com/download下载最新版的Splunk。如果你是第一次访问Splunk网站,需要先注册一个Splunk用户,默认下载的是60天Enterprise试用版,60天试用之后将自动转化为Free版,转化位Free版后每日处理的日志量最高位500M。
Splunk 192.168.0.116
客户端192.168.0.117
192.168.0.116配置
#rpm -ivh splunk-5.0.2-149561.i386.rpm
#/opt/splunk/bin/splunk start
#/opt/splunk/bin/splunk status
splunkdis running (PID: 7730).
splunkhelpers are running (PIDs: 7731).
splunkwebis running (PID: 7788).
开机启动Splunk
vim /root/.bashrc
export PATH=/opt/splunk/bin/:$PATH
. /root/.bashrc
#/opt/splunk/bin/splunkenableboot-start
Initscript installed at /etc/init.d/splunk.
Initscript is not configured to run at boot.可以忽略这句话
[root@splunk~]# chkconfig --list |grep splunk
splunk0:关闭1:关闭2:启用3:启用4:启用5:启用6:关闭
#/etc/init.d/splunkstop
#/etc/init.d/splunk start
可以打开浏览器http://192.168.0.116:8000
实例:添加本地syslog到Splunk时时更新日志
管理--数据导入--添加数据---sysylog--下一步---路径--继续--保存--返回---联机
1.设置Splunk服务器允许接收Splunk Forwarder发送的数据。
进入“Splunk配置首页”,选点右上角的“管理器”,在“数据”类里找到“转
发和接收”。在“接收数据”项中,点击“新增”,Splunk默认接收转发器连接到端口是9997,我们需要将端口填入“输入框”中。点击保存后,Splunk服务默认会打开tcp的9997端口用于监听
2.配置Splunk Forwa