首页 > 系统相关 >splunk配置windows和linux的配置过程和事项

splunk配置windows和linux的配置过程和事项

时间:2023-04-04 22:26:24浏览次数:54  
标签:opt bin windows splunk linux 日志 监听

主服务器安装splunk

rpm -ivh splunk.xxx.rpm --force --nodeps
#因为这里可能会有报错说/bin/sh is needed by xx

#安装在/opt目录下 ,解压完成后进入splunk的bin目录
cd /opt/splunk/bin

1. 启动splunk
/opt/splunk/bin$ ./splunk start

###开始一段协议### 一直回车然后输入y 同意协议
出现要用户创建一个splunk的账号密码
出现the splunk web interface is at http://ubuntu:8000 #服务器端开启splunk

重要的东西:一定要放开防火墙的配置

iptables -A INPUT -p tcp -d splunk's ip -m multiport --dport 8089(管理端口),9997(数据接收端口) -j ACCEPT

监听本地日志

通过上面的账户密码登录进入splunk管理页面

选择链:

设置 ->数据输入->本地输入->文件&目录->新增

1.选择来源
框中浏览要本地监听的文件
#注意这里的区别 监听window的日志是在一个文件内监听的,但是linux系统的日志可以选择一整个目录
->下一步
2.输入设置
  *选择应用上下文,根据监听对应的文件类型进行判断一般都是log文件
   
  *关键点:设置一个新索引,当要收集很多日志的文件的时候,通过这个索引可以事先事件聚合
    步骤1. 点击新建索引,设置索引名称后即可保存
3.检查默认通过
4.完成创建

通过转发器监听其他主机的日志

linux转发

将splunkforward安装到/opt目录下解压

rpm -ivh splunkforwardr-xx.rpm
#环境变量添加
export $SPLUNK_HOME=/opt/splunkforwarder
tips:如果有报错信息是关于权限的问题,那就将运行的权限都套在root用户下进行
sudo chown -RP root:root /opt/splunkforwarder
#启动
/opt/splunkforwarder/bin/$ sudo ./splunk enable boot-start
#看完协议后会弹出需要用户设置一个账号密码的交互
#设置管理端口
/opt/splunkforwarder/bin/$ sudo ./splunk set delpoy-pull splunk's ip:8089
#添加数据传送接口
xx/bim$ sudo ./splunk add forward-server ip:自定义端口(只要在splunk管理端创建一个接收端口即可
#linux添加目录监控命令
xx/bin$ ./splunk add monitor 监听路径(可以是目录可以是文件)
#linux查看forwards配置
xx/bin$ ./splunk list forward-server
#重启splunkforward激活配置
systemctl restart splunk

 windows转发

域环境安全日志转发
Splunk收集Windows Server域控制器的安全日志(1) - sec_j - 博客园 (cnblogs.com)

@Splunk转发器部署(windows | linux) - ଲ一笑奈&何 - 博客园 (cnblogs.com)

 普通环境转发(不在安装时就勾选监听的内容,在splunk上设置监听内容)

Splunk收集Windows Server域控制器的安全日志(1) - sec_j - 博客园 (cnblogs.com)

 

标签:opt,bin,windows,splunk,linux,日志,监听
From: https://www.cnblogs.com/lisenMiller/p/17288067.html

相关文章

  • Windows11搭建Qt 6.4.2 for Android+OpenCV4.7.0开发环境
    1.下载opencv-4.7.0-android-sdk.zip,下载地址:https://opencv.org/releases/,解压后,如下图:  2.编辑opecv_android.pri,内容如下(可使用命令行命令-dir*.a/ON/B>v8a.txt):message('Linux/Andoirdisrunning!')#data.files+=images/*.*#data.files+=dnn/*.prototxt#data.files......
  • Windows 下 Docker 的安装
    1、安装条件(1)64位Windows10及以上操作系统(2)已经开启了BIOS设置中的硬件虚拟化支持,如没有开启,在BIOS中设置。 2、下载DockerDesktopInstaller.exe安装包(1)官网:https://www.docker.com/访问官网页面,并单击其中的DownloadDockerDesktopforWindows按钮......
  • Linux Page Cache调优在Kafka中的应用
    作者:YangYijun本文主要描述LinuxPageCache优化的背景、PageCache的基本概念、列举之前针对Kafka的IO性能瓶颈采取的一些解决方案、如何进行PageCache相关参数调整以及性能优化前后效果对比。一、优化背景当业务快速增长,每天需要处理万亿记录级数据量时。在读写数据方面,Kafka......
  • linux下安装数据库
    1、查看是否有安卓数据库输入命令:mysql   2、查看是否存在rpm-qa|grepmariadb  3、将其卸载命令:rpm-e--nodepsmariadb-libs-5.5.68-1.el7.x86_64  4、如果没权限,输入suroot超级管理员账号  5、装依赖包命令:yuminstall-yperlnet-tools......
  • 浅谈Windows ServerDNS 条件转发命令
    #备份操作#创建备份目录mdd:\dns#筛选需要备份的条件转发,并导出Get-DnsServerZone|?{$_.ZoneType-like"Forwarder"}|?{$_.ZoneName-like"*corp.com"}|Select-ObjectZoneName,@{Name='MasterServers';Expression={$_.MasterServers-join","}}......
  • Linux服务器部署前后端项目-SQL Father为例
    Linux服务器部署前后端项目-SQLFather为例项目介绍项目的Github地址:https://github.com/liyupi/sql-father-frontend-public1.下载前后端项目到本地我这里使用Gitclone,也可以直接下载压缩包。gitclonehttps://github.com/liyupi/sql-father-frontend-public.git2......
  • linux上安装.net 5.0
    一、CentOS8.2在线安装.net5.0直接执行命令:sudodnfinstalldotnet-sdk-5.0二、centos7.6在线安装.net5.0首先,配置仓库:sudorpm-Uvhhttps://packages.microsoft.com/config/centos/7/packages-microsoft-prod.rpm然后,执行安装命令:sudoyuminstalldotn......
  • linux部署.NET6.0项目
    一、CentOS7.9配置SSH实现远程连接方法过程 1.确认是否安装sshyumlistinstalled|grepopenssh-server有输出内容,说明已安装;2.安装SSH服务yuminstallopenssh-server已安装的可以直接跳过。3.编辑配置vim/etc/ssh/sshd_config4.Port2222PermitRootLoginn......
  • windows监控进程是否存在
    @echooff:runtasklist/FI"IMAGENAMEeqSDPAgent.exe"2>NUL|find/I/N"SDPAgent.exe">NULif"%ERRORLEVEL%"=="0"(echoProgramisrunningfor/f"skip=3tokens=2"%%iin(......
  • Windows 下 Oracle 全备
    bak.bat脚本如下delG:\orabk\full_*setNLS_LANG=SIMPLIFIEDCHINESE_CHINA.ZHS16GBKsetmydate=%date:~0,4%%date:~5,2%%date:~8,2%expdpbkuser/Lander$2022directory=dumdirdumpfile=full_%mydate%.dmplogfile=full_%mydate%.logfull=y这段脚本是用于使用......