splunk概念介绍和组装学习

1，概念
数据发送、数据收集并索引。原始数据一开始一般是由不同机器产生，通过不同的组件向indexer发送这些原始数据，这些组件有splunk forwarders、syslog、WMI等等，数据发给indexer之后，indexer就会为数据建立索引，建立索引的目的是加快查询速度。这样之后，用户就可以通过统一的窗口操作数据了，比如查询。
splunk的四大组件，分别是搜索和报表（search and reporting），索引（indexer），分布式服务（deployment）和数据转发（forwarder）。

2，server端安装

systemctl stop firewalld.service
systemctl disable firewalld.service
tar -zxvf splunk-7.2.0-8c86330ac18-Linux-x86_64.tgz -C /opt
cd /opt/splunk/bin/
. setSplunkEnv
echo $SPLUNK_HOME
$SPLUNK_HOME/bin/splunk start --accept-license
$SPLUNK_HOME/bin/splunk restart
$SPLUNK_HOME/bin/splunk enable boot-start
 浏览器输入：
https://135.251.206.15:8000

3，client端安装

安装到/opt下面：
64bit，x86的
tar -xvf splunkforwarder-7.2.0-8c86330ac18-Linux-x86_64.tgz -C /opt
32bit，i686的
tar -xvf splunkforwarder-7.1.2-a0c72a66db66-Linux-i686.tgz -C /opt
cd /opt/splunkforwarder/bin
./splunk start --accept-license
./splunk  list forward-server
./splunk add forward-server 135.251.206.15:12345
客户端注册到服务器： ./splunk set deploy-poll 135.251.206.15:8089
监控日志：./splunk add monitor /var/log/\*.log
显示有哪些被监控: ./splunk list monitor
./splunk restart
echo $SPLUNK_HOME
. setSplunkEnv
$SPLUNK_HOME/bin/splunk restart
配置环境变量：echo "export PATH=/opt/splunkforwarder/bin:$PATH" >> /etc/profile
监控客户端：server的web页面，设置》监视控制台》转发器 实例
监视客户端目录：server的web页面，设置》数据输入》转发的输入》文件&目录》新远程文件和目录》

4， Debug

tail -f /opt/splunk/var/log/splunk/splunkd.log
tail -f /opt/splunkforwarder/var/log/splunk/splunkd.log
/opt/splunkforwarder/bin/splunk restart
netstat -tnap | grep -e 9997
cat $SPLUNK_HOME/etc/system/local/inputs.conf
cat $SPLUNK_HOME/etc/system/local/outputs.conf
$SPLUNK_HOME/bin/splunk cmd btool outputs list --debug