Splunk转发器centos部署

Spunk概述

1）Splunk分为服务器(Splunk)和客户端（Splunkforwarder）。
Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。
2）Splunk是一款功能强大，功能强大且完全集成的软件，用于实时企业日志管理，可收集，存储，搜索，诊断和报告任何日志和机器生成的数据，包括结构化，非结构化和复杂的多行应用程序日志。
​它允许您以可重复的方式快速，可重复地收集，存储，索引，搜索，关联，可视化，分析和报告任何日志数据或机器生成的数据，以识别和解决操作和安全问题。，
3）splunk还支持各种日志管理用例，例如日志整合和保留，安全性，IT操作故障排除，应用程序故障排除以及合规性报告

前提准备:spunk服务客户端配置:

 添加9997端口或其他自定义端口

 安装

rpm -ivh ./splunk9/splunkforwarder-9.2.0.1-d8ae995bf219.x86_64.rpm

手动配置Splunk转发器

#添加权限
chmod 755 splunkforwarder -R  
#配置转发器，进入转发器目录
cd splunkforwarder/bin


#splunk服务操作命令：
	./splunk start    #启动
	./splunk restart  #重新启动
	./spunk stop      #停止转发


#配置转发文件
cd /opt/splunkforwarder/etc/system/local/  #进入转发器配置功能
vim inputs.conf                            #创建inputs.conf文件
	[default]
	host=本机ip地址                         #配置在splunk服务器端显示的主机名
	[monitor:///var/logs]                 #转发路径
	sourcetype=apache1	                   #配置固定的sourcetype
	index=main	                           #配置自定义固定的索引
	
vim outputs.conf                           #创建outputs.conf文件
	[tcpout]
	defaultGroup = default-autolb-group
	[tcpout:default-autolb-group]
	server = splunk平台ip:平台接收端口9997
	[tcpout-server:// splunk平台ip:平台接收端口9997]
	
vim deploymentclient.conf 
	[target-broker:deploymentServer]
	targetUri = splunk平台ip:管理端口 8089


#splunk重启服务
 cd /opt/splunkforwarder/bin/
 ./splunk restart


#重要操作:修改hostname 在生成的server.conf中编辑
vim server.conf
[general]
serverName = crm42

 

配置后客户端可以查看结果

 查看实例: