ELK感觉太麻烦了,换个日志收集工具
Splunk 是一种 IT 工具,可帮助在任何设备上收集日志、分析、可视化、审计和创建报告。简单来说,它将"机器生成的数据转换为人类可读的数据"。它支持从虚拟机、网络设备、防火墙、基于 Unix 和基于 Windows 的设备读取大部分输出格式。
在mac上安装pd,再在pd上安装ubuntu22.04操作系统,安装详情略
第一步
首先,通过在终端中运行以下apt命令,确保所有系统软件包都是最新的。
sudo apt update
sudo apt upgrade
sudo apt install wget apt-transport-https gnupg2
第二步
在 Ubuntu22.04 上下载 Splunk 。
现在转到Splunk官方网站,然后单击屏幕右上角的Free Splunk按钮。之后,您必须创建一个帐户才能下载安装程序。
云平台版本可以获得15天的访问时长。
软件版本我们将获得 60 天的企业版试用许可。60 天后,企业试用许可证将转换为永久免费许可证,某些功能(如用户首选项、身份验证和警报)将被禁用。并限制每天 500MB 的索引量,但没有到期日期。
注册很麻烦,各个字段都需要填写完整才能点击注册按钮,我是人类这图标也很变态
注册完成后登录不了,需要用邮箱激活,但收不到邮箱,最好用163的邮箱
链接地址是:wget -O splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb "https://download.splunk.com/products/splunk/releases/9.4.0/linux/splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb"
下载完成后,运行以下命令安装软件包:.deb
sudo dpkg -i ./splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb
安装出错点
bash
Selecting previously unselected package splunk.
(Reading database ... 234892 files and directories currently installed.)
Preparing to unpack .../splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb ...
no need to run the pre-install check
Unpacking splunk (9.4.0) ...
Setting up splunk (9.4.0) ...
/var/lib/dpkg/info/splunk.postinst: line 123: curl: command not found
completesudo apt update安装curl- sudo apt install curl
运行以下脚本,可以在引导中加入splunk 启用服务:
bash
sudo /opt/splunk/bin/splunk enable boot-start一直按空格,然后输入用户名和密码,最后,我们可以使用以下命令启动 Splunk 服务:
bash
sudo systemctl start splunk第三步
配置防火墙。
现在,我们使用 Splunk 设置了一个简单防火墙 (UFW),以允许在默认 Web 端口 8000 上进行公共访问:
打开所需的端口
Splunk 需要打开一些 Web 界面、Splunk Web 端口、Splunk Management 端口所需的端口。
端口 9997 是接收它的开口,可以定义为任何未使用的端口。
|-----|------|--------------------|
| NO: | 端口号 | 端口的使用 |
| 1. | 8000 | Splunk Web 端口 |
| 2. | 8089 | Splunk Manage-t 端口 |
| 3. | 8191 | Splunk KV 端口 |
| 4. | 8065 | HSplunk App Srv 端口 |
| 5. | 9997 | Splunk 接收器端口 |
为所有必需的端口添加防火墙规则。
sudo ufw allow 8080,8089,8191,8065,9997/tcp
sudo ufw enable
列出允许的端口(iptables或ufw)。
sudo iptables -L INPUT -n -v --line-numbers
或
sudo ufw status
如果您计划将来自客户端的日志接受到 Splunk 服务器中,请确保允许 Syslog 和加密 Syslog 的传入端口。
sudo ufw allow 514/udp
sudo ufw allow 6514/udp
第四步
访问 Splunk Web 界面。
成功安装后,打开 Web 浏览器并使用 URL 访问 Splunk 安装向导。
您将被重定向到以下页面:
中文:http://10.211.55.9:8000/zh-CN/account/login?return_to=%2Fzh-CN%2F
填入安装时输入的用户名和密码。进入下面界面
其他配置
配置日志文件
两步将 LINUX 日志发送到 SPLUNK
将 Splunk 服务器添加到客户端计算机上的已知主机列表中,然后告诉 syslog 进程将日志转发到 Splunk。
将以下行添加到 /etc/hosts(注意:替换地址为你的,使用制表符,空格不起作用。)
ip.address.of.splunkserver splunkserver
其中 splunkserver 是 Splunk 服务器的名称(例如:上文我们设置的splunk.901.local)。
现在,将以下行添加到 /etc/syslog.conf:
登录后复制
# additional config for sending logs to splunk
*.info @splunksever
其中 *.info 是您希望发送日志的详细程度。
卸载
登录后复制
rm -rf /opt/splunk
rm -rf /opt/splunkforward