文章目录
- 1.splunk概述
- 2.splunk的特点
- 3.splunk安装
- 4.Web使用splunk
- 5.Splunk数据文件监控
- 6.Splunk的服务器节点监视
- 7.Splunk组件扩展
- 8.splunk Dashboards
1.splunk概述
#splunk基本介绍
1》 Splunk 是一款顶级的日志分析软件,如果经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志的话,我们就需要 使用Splunk;
splunk’能处理常规的日志格式,比如 apache、nginx、squid、syslog、mail.log等;对所有日志先进行 index,然后可以交叉查询,支持复杂的查询语句,然后通过直观的方式表现出来。
日志可以通过文件方式传倒 Splunk 服务器,也可以通过网络实时传输过去。或者是分布式的日志收集。总之支持多种日志收集方法
2》Splunk 是机器数据的引擎,我们使用Splunk可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。从一个位置 搜索并分析所有实时和历史数据。
使用 Splunking处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或中断。以较低成本满足合规性要求。关联并分析跨越多个系统
3》splunk软件分为免费版本与专业版本;专业版本的价格是比较高的,使用免费版本的功能,对于我们也是也足够了
4》Splunk分为服务器(Splunk)和客户端(Splunkforwarder)。
Splunk的服务器就是索引器和接收器。客户端就是数据的转发器。顾名思义就是数据可由客户端转发至server端进行索引。客户端只起到转发数据的作用。
5》Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。
它允许您以可重复的方式快速,可重复地收集,存储,索引,搜索,关联,可视化,分析和报告任何日志数据或机器生成的数据,以识别和解决操作和安全问题。,
ps:splunk还支持各种日志管理用例,例如日志整合和保留,安全性,IT操作故障排除,应用程序故障排除以及合规性报告等
2.splunk的特点
Splunk Enterprise【企业版】、Splunk Free【免费版】、Splunk Cloud、Splunk Hunk【大数据分析平台】、Splunk Apps【基于企业版的插件】等
1. 它易于扩展和完全集成;
2. 支持本地和远程数据源;
3. 允许索引机器数据;
4. 支持搜索和关联任何数据;
5. 允许您向下钻取和向上钻取数据;
6. 支持监控和警报;
7. 支持用于可视化的报告和仪表板; 提供对关系数据库的灵活访问,以逗号分隔值( .CSV)文件或其他企业数据存储(如Hadoop或NoSQL)的字段分隔数据;
8. 支持各种日志管理用例等等;
Splunk构造:
3.splunk安装
免费使用splunk,如下,先注册,后使用即可
#环境优化:关闭防火墙及selinux
[root@splunk ~]# setenforce 0
setenforce: SELinux is disabled
[root@splunk ~]# systemctl stop firewalld
1)#splunk安装包准备(官方注册账号)
官方注册并下载安装包
服务器:splunk-*****-linux-x86_64.rpm
客户端:splunkforwarder-******-linux-x86_64.rpm
2)#linux安装包下载(手动下载)
[root@splunk ~]# wget -O splunk-8.2.4-87e2dda940d1-Linux-x86_64.tgz 'https://download.splunk.com/products/splunk/releases/8.2.4/linux/splunk-8.2.4-87e2dda940d1-Linux-x86_64.tgz'
3)#linux系统splunk安装
[root@splunk ~]# rpm -ivh splunk-8.2.5-77015bc7a462-linux-2.6-x86_64.rpm
警告:splunk-8.2.5-77015bc7a462-linux-2.6-x86_64.rpm: 头V4 RSA/SHA512 Signature, 密钥 ID b3cd4420: NOKEY
准备中... ################################# [100%]
正在升级/安装...
1:splunk-8.2.5-77015bc7a462 ################################# [100%]
complete
4)#启动splunk服务(阅读SPLUNK SOFTWARE LICENSE AGREEMENT)
[root@splunk ~]# /opt/splunk/bin/splunk start
阅读完成后出现此状态,输入y 同意
Do you agree with this license? [y/n]: y
#用户设置
Please enter an administrator username: admin
Password must contain at least:
* 8 total printable ASCII character(s).
#设置密码
Please enter a new password:
Please confirm new password:
Copying '/opt/splunk/etc/openldap/ldap.conf.default' to '/opt/splunk/etc/openldap/ldap.conf'.
Generating RSA private key, 2048 bit long modulus
.........................+++++
.......................+++++
e is 65537 (0x10001)
writing RSA key
....
Signature ok
subject=/CN=splunk/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ 确定 ]
Waiting for web server at http://127.0.0.1:8000 to be available......... Done
If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com
The Splunk web interface is at http://splunk:8000
#当前状态表示安装完成
5)#查看端口确认服务状态
[root@splunk ~]# netstat -lntp |grep splunk
tcp 0 0 0.0.0.0:8089 0.0.0.0:* LISTEN 2211/splunkd
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 2211/splunkd
4.Web使用splunk
【登录splunk WEB平台】
web访问:http://主机IP地址:8000/
如下所示:
使用刚才注册的账号密码即可:admin /*******
成功登录Splunk管理控制平台
5.Splunk数据文件监控
日志文件监控
选择添加监控数据源
数据源添加教程,可跳过
选择数据数据收集方式,从文件中添加数据
选则数据源获取的方式:以文件或者目录的方式
监视文件选择
选择当前服务器需要监视本地的文件或者目录:/var/log/secure
数据源选择后,选择Continuously Monitor以查看该日志文件,然后单击Next;选择连续监控,监控可以设置白名单及监控的黑名单,继续下一步设置
配置监视文件上下文的类型及其他
检查相关配置
检索配置条件,搜索监视的文件内容
6.Splunk的服务器节点监视
当前节点服务器监视
可视化监视及报表等
7.Splunk组件扩展
8.splunk Dashboards
