在本文中,我将解释如何在Ubuntu 18.04服务器上安装最新版的Splunk。它是分析,探索和搜索数据最强大的工具之一,它是从应用程序,web服务器,数据库,服务器平台,云网络和许多更多的数据流实时地索引,搜索,收集和可视化海量数据流的最简单方法之一。
Splunk架构
Splunk中有三个主要组件,如下所示:Splunk Forwarder
Splunk Indexer
Splunk Search
如你所见,Splunk Forwarder用于数据转发,它是用来收集日志的组件,Splunk Indexer是用于分析和索引数据的索引器,Splunk实例将传入的数据转换为事件,并将它存储在索引中,以便高效地执行搜索操作,最后是Splunk Search,它是用于搜索,分析和报告的图形界面。
在ubuntu 18 04上安装Splunk
创建一个Splunk帐户,并从官方网站下载Splunk企业软件。
现在将下载的文件上传到Ubuntu 18.04服务器并将它放入临时目录中,接下来,我们可以运行dpkg命令来安装Splunk服务器。~# dpkg -i splunk-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb
Selecting previously unselected package splunk.
(Reading database ... 66600 files and directories currently installed.)
Preparing to unpack splunk-7.1.0-2e75b3406c5b-linux-2.6-amd64.deb ...
Unpacking splunk (7.1.0) ...
Setting up splunk (7.1.0) ...
complete
接着,我们需要创建init.d脚本,以便能够轻松地启动和停止Splunk ,更改到Splunk二进制目录 /Opt/splunk/bin/并使用以下参数运行Splunk可执行文件。#cd /opt/splunk/bin/
# ./splunk enable boot-start
Splunk Software License Agreement 04.24.2018
Do you agree with this license? [y/n]: y
Do you agree with this license? [y/n]: y
This appears to be your first time running this version of Splunk.
An Admin password must be set before installation proceeds.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 2048 bit long modulus
.......+++
................+++
e is 65537 (0x10001)
writing RSA key
Generating RSA private key, 2048 bit long modulus
.............................................................+++
............+++
e is 65537 (0x10001)
writing RSA key
Moving '/opt/splunk/share/splunk/search_mrsparkle/modules.new' to '/opt/splunk/share/splunk/search_mrsparkle/modules'.
Init script installed at /etc/init.d/splunk.
Init script is configured to run at boot.
在此过程中,可以通过Press Spacebar查看许可协议,然后键入Y以接受它,如安装日志所示,最后,我们可以使用以下命令启动Splunk服务:# service splunk start
现在你可以访问你的Splunk网络界面了 http://Server-IP:8000/or http://Server-hostname:8000 ,你需要确保在服务器防火墙上打开此端口8000.
你可以提供在安装阶段创建的管理员登录凭据来访问你的Splunk GUI界面,登录后,你可以使用Splunk仪表板。
在主页上列出了不同的类别,你可以选择所需的一个,并且启动Splunk 。
添加任务
为一个简单任务添加一个示例,该示例已添加到Splunk系统中。任务是将/var/log文件夹添加到Splunk系统以进行监视。
第1步 :
打开Splunk Web界面并选择Add Data选项。
步骤2 :
添加数据选项卡将打开三个选项: Upload ,monitor和Forward ,任务是监视一个文件夹,所以我们使用Monitor。
在Monitor选项中,有如下四个类别:
监视文件/文件夹的Files & Directories:
HTTP Event Collector:监视通过HTTP的数据流
TCP/UDP:监视tcp/udp端口上的流量
Scripts:监视自定义脚本或命令
步骤3 :
根据我们的目的,我选择Files & Directories选项。
步骤4 :
现在,浏览服务器上的文件夹路径/var/log ,选择设置后,可以单击下一步,并且查看。
检查完所有设置后,可以单击'Submit'以结束。
步骤5 :
现在已经成功地将数据源添加到Splunk以进行监视,可以根据需要开始搜索和监视日志文件,我已经将日志范围缩小到Apache应用程序。
这只是一个简单的Splunk例子,你可以向其中添加任意多个任务,并浏览本地或远程服务器数据,它还提供了一些工具,可以根据日志分析结果,使用多个字段和指标来创建表和可视化报告。
我希望这篇文章对您有所帮助,请对此提出宝贵的建议和意见。