Splunk转发器centos部署

Spunk概述

1）Splunk分为服务器(Splunk)和客户端（Splunkforwarder）。
Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。
2）Splunk是一款功能强大，功能强大且完全集成的软件，用于实时企业日志管理，可收集，存储，搜索，诊断和报告任何日志和机器生成的数据，包括结构化，非结构化和复杂的多行应用程序日志。
​它允许您以可重复的方式快速，可重复地收集，存储，索引，搜索，关联，可视化，分析和报告任何日志数据或机器生成的数据，以识别和解决操作和安全问题。，
3）splunk还支持各种日志管理用例，例如日志整合和保留，安全性，IT操作故障排除，应用程序故障排除以及合规性报告

前提准备:spunk服务客户端配置:

添加9997端口或其他自定义端口

安装

1	`rpm -ivh ./splunk9/splunkforwarder-9.2.0.1-d8ae995bf219.x86_64.rpm`

手动配置Splunk转发器

#添加权限
chmod 755 splunkforwarder -R  
#配置转发器，进入转发器目录
cd splunkforwarder/bin
 
 
#splunk服务操作命令：
    ./splunk start    #启动
    ./splunk restart  #重新启动
    ./spunk stop      #停止转发
 
 
#配置转发文件
cd /opt/splunkforwarder/etc/system/local/  #进入转发器配置功能
vim inputs.conf                            #创建inputs.conf文件
    [default]
    host=本机ip地址                         #配置在splunk服务器端显示的主机名
    [monitor:///var/logs]                 #转发路径
    sourcetype=apache1                     #配置固定的sourcetype
    index=main                             #配置自定义固定的索引
     
vim outputs.conf                           #创建outputs.conf文件
    [tcpout]
    defaultGroup = default-autolb-group
    [tcpout:default-autolb-group]
    server = splunk平台ip:平台接收端口9997
    [tcpout-server:// splunk平台ip:平台接收端口9997]
     
vim deploymentclient.conf 
    [target-broker:deploymentServer]
    targetUri = splunk平台ip:管理端口 8089
 
 
#splunk重启服务
 cd /opt/splunkforwarder/bin/
 ./splunk restart
 
 
#重要操作:修改hostname 在生成的server.conf中编辑
vim server.conf
[general]
serverName = crm42