@Splunk转发器部署（windows | linux）

文章目录

• • 1.Spunk概述
  • 2.Splunk获取
  • 3.Splunk转发器安装windows
  • • 场景一：
    • 场景二：
    • 1）手动配置Splunk转发器
    • 2）splunk server配置添加
  • 4.Splunk转发器安装linux（center os）
  • • 1）linux安装
    • 2）splunk转发器主要配置
    • 3）splunk配置
  • 5.splunk安装部署

1.Spunk概述

1）Splunk分为服务器(Splunk)和客户端（Splunkforwarder）。
Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。
2）Splunk是一款功能强大，功能强大且完全集成的软件，用于实时企业日志管理，可收集，存储，搜索，诊断和报告任何日志和机器生成的数据，包括结构化，非结构化和复杂的多行应用程序日志。
​它允许您以可重复的方式快速，可重复地收集，存储，索引，搜索，关联，可视化，分析和报告任何日志数据或机器生成的数据，以识别和解决操作和安全问题。，
3）splunk还支持各种日志管理用例，例如日志整合和保留，安全性，IT操作故障排除，应用程序故障排除以及合规性报告

2.Splunk获取

【splunk官方网站】

3.Splunk转发器安装windows

官网获取splunk 转发器并上传windows服务器：

splunkforwarder-8.1.3-63079c59e632-x64-release

场景一：

双击打开并选择安装：接受许可协议并选择内部安装实例

选择自定义路径

选择本地系统：

创建管理员及用户认证凭据
admin：admin@2022

指定splunk server地址

设置splunk接受端口（默认即可）

配置完成后安装即可 ：

修改 splunk配置：如下做所示：

场景二：

双击打开并安装splunkforwarder：勾选接受许可协议，并下一步

安装Splunk转发器：

刷新完成安装

1）手动配置Splunk转发器

手动切换到此目录：
C:\Program Files\SplunkUniversalForwarder\etc\system\local
打开如下文件

#第一个文件splunk转发器认证配置（默认即可）
#第二个文件部署指定的splunk server端，deploymentclient.conf;内容如下所示：
[target-broker:deploymentServer]
targetUri = 192.168.1.10:8089   #server端ip


#第三个文件一般默认
#第四个文件转发模块，migration.conf,配置为true
[history]
checked_bad_monitor_regexes = true


第五个文件为推送配置outputs.conf
[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = 192.168.1.10:9997          #server端ip

[tcpout-server://192.168.1.10:9997]



#server.conf(默认即可)
[general]
serverName = SH5-BACKUP
pass4SymmKey = $7$9ThGrHDtIuOIFyQL+F8u7T/9csXt/6eTdYyndFQ4ZfmFtUZ1rqpCbA==

[sslConfig]
sslPassword = $7$EZRzO43Py2sF+IrLAX2XxQ6tYv5jxa+o/iH0qixD2pohbPB17uaziA==

[lmpool:auto_generated_pool_forwarder]
description = auto_generated_pool_forwarder
quota = MAX
slaves = *
stack_id = forwarder

[lmpool:auto_generated_pool_free]
description = auto_generated_pool_free
quota = MAX
slaves = *
stack_id = free

修改 splunk配置：
打开C:\Program Files\SplunkUniversalForwarder\etc\system\default\inputs.conf
查找WinEventLog模块，修改配置

配置完成后重启转发器：
打开本地服务管理：win+r —》services.msc

查看端口是否开启

2）splunk server配置添加

splunk 添加windows转发接收端口：
选择设置按钮，选择转发和接受选项

添加新增接受数据

配置监听的端口：9998（端口可自定义，按照配置端口）

splunk检索的索引配置：

我们选择以下方式：

选择已安装转发器 监听道到的设备

选择windows 日志文件位置,这里我们监控防火墙

Windows server设置防火墙日志

三个全部设置一下：

转到搜索，按照索引进行查找：

4.Splunk转发器安装linux（center os）

linux server上安装转发器

1）linux安装

#下载解压转发器
tar -zxvf splunkforwarder-8.2.2.1-ae6821b7c64b-Linux-x86_64.tgz   
#添加权限
chmod 755 splunkforwarder -R  
#配置转发器，进入转发器目录
cd splunkforwarder/bin


#splunk服务操作命令：
	./splunk start    #启动
	./splunk restart  #重新启动
	./spunk stop      #停止转发



#配置转发文件
cd /opt/splunkforwarder/etc/system/local/  #进入转发器配置功能
vim inputs.conf                            #创建inputs.conf文件
	[default]
	host=本机ip地址                         #配置在splunk服务器端显示的主机名
	[monitor:///var/log/*]                 #转发路径
	sourcetype=apache1	                   #配置固定的sourcetype
	index=panda	                           #配置固定的索引
	
vim outputs.conf                           #创建outputs.conf文件
	[tcpout]
	defaultGroup = default-autolb-group
	[tcpout:default-autolb-group]
	server = splunk平台ip:平台接收端口
	[tcpout-server:// splunk平台ip:平台接收端口]
	
vim deploymentclient.conf 
	[target-broker:deploymentServer]
	targetUri = splunk平台ip:平台接收端口




#splunk重启服务
 cd /opt/splunkforwarder/bin/
 ./splunk restart 

2）splunk转发器主要配置

3）splunk配置

后面配置与windows类似，详情略

5.splunk安装部署

【splnuk部署安装】