Linux环境安装Splunk Enterprise服务端和Windows客户端Splunk Universal Forwarder

Ubuntu 22.04 安装Splunk Enterprise服务端

• 这里采用安装Splunk Enterprise 8.2.5版本

• 下载安装包
  wget -O splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb https://download.splunk.com/products/splunk/releases/8.2.5/linux/splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

• 执行安装
  sudo dpkg -i splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

• 正常情况下是没有报错直接安装成功，然后查找安装成功的路径，并执行splunk，根据向导配置登录splunk的用户名和密码，成功之后并启动服务。
  

• 上述执行都没有问题的话，会在本地侦听8000端口，然后访问该主机的IP和8000端口即可正常访问Splunk服务端了。
  
  

配置服务端转发和接收数据

• 这里配置的默认端口是9997
• 之所以这里要配置是为了下面安装Windows Splunk Universal Forwarder做准备。
  
  
  
  

Windows 安装Splunk客户端（Splunk Universal Forwarder）并配置这个通用转发器

• 下载客户端链接地址

• https://download.splunk.com/products/universalforwarder/releases/8.2.5/windows/splunkforwarder-8.2.5-77015bc7a462-x64-release.msi

• 参考下载地址

• https://gist.github.com/devops-school/3247238bfdf8a4cbaf6039a1a38ba516

• 开始安装
  

• 设置账户和密码，这里设置的账户和密码不需要跟服务端一样，可自定义设置。
  
  账户：admints 密码：admin@998 上述只是测试使用的账户密码

• 继续下一步，这里输入刚才上面部署好的Splunk Enterprise服务端，测试环境对应的IP地址是10.10.16.120
  

• 继续下一步就是配置接收服务端的IP和端口。
  

• 点击下一步，然后开始安装。
  

• 完成安装。
  

添加Windows事件日志

• 如果上述配置操作都没有问题的话，那么此时在服务端设置-转发管理器的位置就会发现刚才配置的Windows客户端转发器已经上线了。
  
  

• 设置-数据输入，找到Windows事件日志选项点击添加操作。
  
  
  

• 选中WINDOWS，并配置名称。
  

• 选择事件来源日志
  

• 我这里就只选应用和安全相关的日志了，大家可根据实际情况选择。
  

• 创建索引或者使用默认索引，我这里是创建一个新的索引。
  
  

• 确认是否都操作正确，点击Review一下。
  

• 没问题然后就提交即可。
  

• 正常情况下都没有问题，点击Start Searching就可以开始搜索Windows相关日志。