日志分析工具splunt

实验环境
网关  classroom  172.25.8.254
workstation 172.25.8.9
server a-jeth0 172.25.8.10-外网
eth1 192.168.0.x内网
eth2 192.168.1.x备用
--------------------------------------------
需求：
设计：
原理：日志的作用，1）排错 2）日志分析 3）日志量：日志分析工具
日志分析：
http为例组成：client ip 日期 时间 时区 http指令 path http协议版本 http访问代码
大小 跳转页 浏览器内核 图形化 os 浏览器版本
分析：访问量为ie日志的行数，通过访问的时间可以分析用户的群体和年龄段组成，根据访问的页面可以分析出应该在那个页面投入更多的广告，根据访问量的大小可以对广告的价格进行合理的定价
日志分析工具：splunk
工作的过程
源日志-->分析格式化
常见的日志：rsyslog和applog
-/var/log/maillog #“-”的作用是指先把日志放入内存然后再写入硬盘中
日志的轮替：
/etc/logrotate.conf
手工日志的轮替
1）将原来的日志进行改名，通常是在原来文件名的基础上添加轮替的日期
2）新建一个与原来日志同名的文件
3）kill -10 该服务的进程号，因为系统开机会加载日志存放的文件，系统记录的该文件名所对应的inode号，所以应重新读取以下该文件所对应的新的inode号



硬件：
系统：
软件：splunk-5.0.2-149561-linux-2.6-x86_64.rpm服务器安装
splunkforwarder-5.0.2-149561-linux-2.6-x86_64.rpm#异地主机安装
服务：
部署：
服务端
  43  mount 172.25.254.250:/content /mnt
  44  cd /mnt/ula/splunk/
  45  ls
  46  cd /mnt/ula/splunk/rpms/
  47  ls
  48  rpm -ivh splunk-5.0.2-149561-linux-2.6-x86_64.rpm
  49  /opt/splunk/bin/splunk start
  50  vim /etc/rsyslog.conf
  51  netstat-nalpt
  52  netstat -nualp
  53  netstat -nualp | grep udp
  54  systemctl restart rsyslog.service
  55  netstat -nualp | grep udp
  56  netstat -nualp | grep 514