splunk 日誌分析系統搭建,部署,配置

2021-10-12 03:50:08 字數 3355 閱讀 2495

splunkforwarder軟體包

1.上傳軟體壓縮包到伺服器上

2.解壓軟體安裝

tar zxvf splunk-8.1.1-08187535c166-linux-x86_64 (1)


.tgz -c /opt
3.進入splunk安裝目錄

cd /opt/splunk/bin

.


/splunk start


--accept-license /


/啟動並同意splunk協議


./splunk enable boot-


start


--accept-license /


/生成/etc/init.d/splunk 啟動指令碼,以後就可以這樣啟動了
注意:啟動時會讓你設定初始使用者名稱和密碼。

.


/splunk show splunkd-port  /


/檢視埠


./splunk set splunkd-port 8888 /


/設定埠


netstat -antple | grep splunk


tcp        0      0 0.0.0.0:8089                0.0.0.0:*                   listen      0          10651      1582/splunkd       


tcp        0      0 0.0.0.0:8000                0.0.0.0:*                   listen      0          11711      1582/splunkd
splunk啟動兩個埠8000和8089,8000為server web埠,8089位splunkforward埠,同步日誌時使用。

瀏覽器輸入:

這裡的使用者名稱和密碼就是啟動時設定的

新增接收資料同步的埠,首頁預設的埠9997就好:

建立索引,每個索引代表乙個應用的日誌

其實步驟跟splunk一樣

1.上傳軟體壓縮包到伺服器上

2.解壓軟體安裝

tar zxvf splunkforwarder-8.1.1-08187535c166-linux-x86_64.tgz -c /opt
3.進入splunkforwarder安裝目錄

cd /opt/splunkforwarder/bin

.


/splunk start


--accept-license /


/啟動並同意splunk協議


./splunk enable boot-


start


--accept-license /


/生成/etc/init.d/splunk 啟動指令碼,以後就可以這樣啟動了
注意:如果splunk 服務和通用**器安裝在同一臺伺服器,通用**器的管理埠也是8090,會有衝突,有衝突的時候會提示,選擇yes,修改埠即可。

以下命令都是bin目錄下執行

.


/splunk add forward-server server_ip:9997 /


/設定客戶端的輸出(傳送的伺服器和埠)


./splunk list forward-server /


/檢視你的輸出設定


./splunk set deploy-poll server_ip:8089 /


/註冊客戶端到伺服器


./splunk add monitor /opt/product/


data


/bblive/logs/schedule.log /


/監控日誌的目錄或者檔案
以上客戶端的輸入和輸出配置也可以通過修改他的配置檔案來生效。

inputs.conf

[default]


host = 192.168.10.201 #此處為預設的,伺服器的名字


[monitor:///data/ykd/logs/ykd-upms]


//日誌檔案路徑,可以使用正規表示式


index = ykd-upms /


/對應splunk web端設定的索引


sourcetype = sourcename   /


/資料型別可以不設定


disabled = false /


/開啟自動同步


//有多個可以複製上面三行追加到後面


[monitor:///data/ykd/logs/ykd-gateway]


index = ykd-gateway


disabled = false


[monitor:///data/ykd/logs/ykd-auth]


index = ykd-auth


disabled = false
outputs.conf

[tcpout]


defaultgroup = default-autolb-


group


[tcpout:default-autolb-group]


server = 192.168.10.201:9997


[tcpout-server:
配置修改需要重啟客戶端。配置好後web的搜尋介面看到索引的目錄裡面的日誌檔案了。

日誌分析利器splunk的搭建 使用 破解

日誌分析利器splunk的搭建 使用 破解 對於傳統的syslog日誌同步,博主只能說它們已經out了,算不上一種高大上的方法,awk,grep,sed這些運維人員自己玩玩就好了。splunk提供日誌實時同步,客戶只需要在視覺化web 引擎上輸入關鍵字就可以查詢,也可以儲存上次查詢的命令,也可以選擇...

10種用於日誌分析的Splunk替代品

快!命名日誌分析服務。如果從您的嘴裡突然冒出的第乙個單詞是 splunk 那麼您並不孤單。但是splunk的成功刺激了許多其他公司,無論是開源還是商業的日誌分析遊戲。這裡有許多競爭者,從服務到開源堆疊,都可以為系統管理員和開發人員提供大量幫助。infoworld的要點 什麼是大資料分析?您需要了解的...

系統日誌分析

var log messages,記錄核心訊息 各種服務的公共訊息 var log dmesg,記錄系統啟動過程的各種訊息 var log cron,記錄與cron計畫任務相關的訊息 var log maillog,記錄郵件收發相關的訊息 var log secure,記錄與訪問限制相關的安全訊息 ...