在 Ubuntu22.04 上安装 Splunk
ELK感觉太麻烦了,换个日志收集工具
Splunk 是一种 IT 工具,可帮助在任何设备上收集日志、分析、可视化、审计和创建报告。简单来说,它将“机器生成的数据转换为人类可读的数据”。它支持从虚拟机、网络设备、防火墙、基于 Unix 和基于 Windows 的设备读取大部分输出格式。
在mac上安装pd,再在pd上安装ubuntu22.04操作系统,安装详情略
第一步
首先,通过在终端中运行以下apt命令,确保所有系统软件包都是最新的。
sudo apt update
sudo apt upgrade
sudo apt install wget apt-transport-https gnupg2第二步
在 Ubuntu22.04 上下载 Splunk 。
现在转到 Splunk官方网站,然后单击屏幕右上角的Free Splunk按钮。之后,您必须创建一个帐户才能下载安装程序。
云平台版本可以获得15天的访问时长。
软件版本我们将获得 60 天的企业版试用许可。60 天后,企业试用许可证将转换为永久免费许可证,某些功能(如用户首选项、身份验证和警报)将被禁用。并限制每天 500MB 的索引量,但没有到期日期。
注册很麻烦,各个字段都需要填写完整才能点击注册按钮,我是人类这图标也很变态
注册完成后登录不了,需要用邮箱激活,但收不到邮箱,最好用163的邮箱
链接地址是:wget -O splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb "https://download.splunk.com/products/splunk/releases/9.4.0/linux/splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb"
下载完成后,运行以下命令安装软件包:.deb
sudo dpkg -i ./splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb 安装出错点
Selecting previously unselected package splunk.
(Reading database ... 234892 files and directories currently installed.)
Preparing to unpack .../splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb ...
no need to run the pre-install check
Unpacking splunk (9.4.0) ...
Setting up splunk (9.4.0) ...
/var/lib/dpkg/info/splunk.postinst: line 123: curl: command not found
completesudo apt update安装curl- sudo apt install curl
运行以下脚本,可以在引导中加入splunk 启用服务:
sudo /opt/splunk/bin/splunk enable boot-start一直按空格,然后输入用户名和密码,最后,我们可以使用以下命令启动 Splunk 服务:
sudo systemctl start splunk第三步
配置防火墙。
现在,我们使用 Splunk 设置了一个简单防火墙 (UFW),以允许在默认 Web 端口 8000 上进行公共访问:
打开所需的端口
Splunk 需要打开一些 Web 界面、Splunk Web 端口、Splunk Management 端口所需的端口。
端口 9997 是接收它的开口,可以定义为任何未使用的端口。
| NO: | 端口号 | 端口的使用 |
| 1. | 8000 | Splunk Web 端口 |
| 2. | 8089 | Splunk Manage-t 端口 |
| 3. | 8191 | Splunk KV 端口 |
| 4. | 8065 | HSplunk App Srv 端口 |
| 5. | 9997 | Splunk 接收器端口 |
为所有必需的端口添加防火墙规则。
sudo ufw allow 8080,8089,8191,8065,9997/tcp
sudo ufw enable列出允许的端口(iptables或ufw)。
sudo iptables -L INPUT -n -v --line-numbers
或
sudo ufw status如果您计划将来自客户端的日志接受到 Splunk 服务器中,请确保允许 Syslog 和加密 Syslog 的传入端口。
sudo ufw allow 514/udp
sudo ufw allow 6514/udp第四步
访问 Splunk Web 界面。
成功安装后,打开 Web 浏览器并使用 URL 访问 Splunk 安装向导。
您将被重定向到以下页面:
中文:http://10.211.55.9:8000/zh-CN/account/login?return_to=%2Fzh-CN%2F
填入安装时输入的用户名和密码。进入下面界面
其他配置
配置日志文件
两步将 LINUX 日志发送到 SPLUNK
验证网络和配置是否正确,在另一台机器命令行输入 echo "这是一条测试日志" | nc 10.211.55.9 9949
ip为splunk安装的机器ip
其它方法上传日志:
下载并安装 Splunk Universal Forwarder:从 Splunk 官网下载适用于你的操作系统的 Universal Forwarder。
java代码上传,jar不好下载
参考:Splunk Java 日志记录库使用教程-CSDN博客
Splunk日志库Java版指南-CSDN博客
token从页面配置中获取
去掉SLL的选项
3.测试:
用API POST测试
详细参考
splunk Enterprise 的HTTP收集器创建以及数据查询_splunk过滤history-CSDN博客