Linux环境安装Splunk Enterprise服务端和Windows客户端Splunk Universal Forwarder

Ubuntu 22.04 安装Splunk Enterprise服务端

  • 这里采用安装Splunk Enterprise 8.2.5版本

  • 下载安装包
    wget -O splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb https://download.splunk.com/products/splunk/releases/8.2.5/linux/splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

  • 执行安装
    sudo dpkg -i splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

  • 正常情况下是没有报错直接安装成功,然后查找安装成功的路径,并执行splunk,根据向导配置登录splunk的用户名和密码,成功之后并启动服务。
    image

  • 上述执行都没有问题的话,会在本地侦听8000端口,然后访问该主机的IP和8000端口即可正常访问Splunk服务端了。
    image
    image

配置服务端转发和接收数据

  • 这里配置的默认端口是9997
  • 之所以这里要配置是为了下面安装Windows Splunk Universal Forwarder做准备。
    image
    image
    image
    image

Windows 安装Splunk客户端(Splunk Universal Forwarder)并配置这个通用转发器

添加Windows事件日志

  • 如果上述配置操作都没有问题的话,那么此时在服务端设置-转发管理器的位置就会发现刚才配置的Windows客户端转发器已经上线了。
    image
    image

  • 设置-数据输入,找到Windows事件日志选项点击添加操作。
    image
    image
    image

  • 选中WINDOWS,并配置名称。
    image

  • 选择事件来源日志
    image

  • 我这里就只选应用和安全相关的日志了,大家可根据实际情况选择。
    image

  • 创建索引或者使用默认索引,我这里是创建一个新的索引。
    image
    image

  • 确认是否都操作正确,点击Review一下。
    image

  • 没问题然后就提交即可。
    image

  • 正常情况下都没有问题,点击Start Searching就可以开始搜索Windows相关日志。
    image

posted @ 2024-11-12 01:31  皇帽讲绿帽带法技巧  阅读(42)  评论(0编辑  收藏  举报