Splunk对于各种日志的监测非常好用,个人感觉它与Ganglia的最大不同点在于:Ganglia只是采集实时的数据并显示,不会对这些数据进行存储和备份,但是Splunk会将监测到的数据进行存储,并对这些数据进行有效的索引。另外,Splunk对于日志数据的分析功能也十分强大,它支持对于日志信息的检索,它定义了一种类似SQL语句的查询语法,能够针对日志数据中的不同字段进行查询。当然,你可以根据需要认为指定需要的字段,这一点类似于MongleDB这样的文档数据库,即没有Schema的限制。最后,Splunk能够对检测数据生成美观的报表。

    Splunk分为免费版和商业版,免费版最大的限制就是每天增加的日志量不能超过500M。所以,如果只是检测单机的情况,免费版是够用的.

  1. Splunk基本组成部分

          Splunk关键的组成部分包括:Search HeadIndexerForwarder

          Search Head: 提供对于监测数据的查询功能,并且提供Web访问服务;

          Indexer 用于对收集的日志数据进行索引;

          Forwarder:用于收集本地的日志信息,发送给IndexerSearch Head

2. Splunk下载、安装

1,下载软件从splunk官网http://www.splunk.com/download

     Splunk: http://www.splunk.com/download/splunk-6.1.3-220630-linux-2.6-x86_64.rpm

          Splunk Universal Forwarder: http://www.splunk.com/download/universalforwarder

2,安装软件 rpm-ivh splunk-6.1.3-220630-linux-2.6-x86_64.rpm

3,初次运行splunk:/opt/splunk/bin/splunk start

4,从WEB页面访问splunk:http://localhost:8000/

首次默认帐号会进行提示:

username: admin

password:changeme

官方splunk文档:http://docs.splunk.com/Documentation/Splunk/6.0.5