在 Ubuntu22.04 上安装 Splunk

ELK感觉太麻烦了，换个日志收集工具

Splunk 是一种 IT 工具，可帮助在任何设备上收集日志、分析、可视化、审计和创建报告。简单来说，它将"机器生成的数据转换为人类可读的数据"。它支持从虚拟机、网络设备、防火墙、基于 Unix 和基于 Windows 的设备读取大部分输出格式。

在mac上安装pd,再在pd上安装ubuntu22.04操作系统，安装详情略

第一步

首先，通过在终端中运行以下apt命令，确保所有系统软件包都是最新的。

sudo apt update
sudo apt upgrade
sudo apt install wget apt-transport-https gnupg2

第二步

在 Ubuntu22.04 上下载 Splunk 。

现在转到Splunk官方网站，然后单击屏幕右上角的Free Splunk按钮。之后，您必须创建一个帐户才能下载安装程序。

云平台版本可以获得15天的访问时长。

软件版本我们将获得 60 天的企业版试用许可。60 天后，企业试用许可证将转换为永久免费许可证，某些功能（如用户首选项、身份验证和警报）将被禁用。并限制每天 500MB 的索引量，但没有到期日期。

注册很麻烦，各个字段都需要填写完整才能点击注册按钮，我是人类这图标也很变态

注册完成后登录不了，需要用邮箱激活，但收不到邮箱，最好用163的邮箱

链接地址是：wget -O splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb "https://download.splunk.com/products/splunk/releases/9.4.0/linux/splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb"

下载完成后，运行以下命令安装软件包：.deb

sudo dpkg -i ./splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb 

安装出错点

Selecting previously unselected package splunk.
(Reading database ... 234892 files and directories currently installed.)
Preparing to unpack .../splunk-9.4.0-6b4ebe426ca6-linux-amd64.deb ...
no need to run the pre-install check
Unpacking splunk (9.4.0) ...
Setting up splunk (9.4.0) ...
/var/lib/dpkg/info/splunk.postinst: line 123: curl: command not found
complete

1. sudo apt update
2. 安装curl
3. sudo apt install curl

运行以下脚本，可以在引导中加入splunk 启用服务：

sudo /opt/splunk/bin/splunk enable boot-start

一直按空格，然后输入用户名和密码，最后，我们可以使用以下命令启动 Splunk 服务：

sudo systemctl start splunk

第三步

配置防火墙。

现在，我们使用 Splunk 设置了一个简单防火墙 （UFW），以允许在默认 Web 端口 8000 上进行公共访问：

打开所需的端口

Splunk 需要打开一些 Web 界面、Splunk Web 端口、Splunk Management 端口所需的端口。

端口 9997 是接收它的开口，可以定义为任何未使用的端口。

|-----|------|--------------------|
| NO： | 端口号 | 端口的使用 |
| 1. | 8000 | Splunk Web 端口 |
| 2. | 8089 | Splunk Manage-t 端口 |
| 3. | 8191 | Splunk KV 端口 |
| 4. | 8065 | HSplunk App Srv 端口 |
| 5. | 9997 | Splunk 接收器端口 |

为所有必需的端口添加防火墙规则。

sudo ufw allow 8080,8089,8191,8065,9997/tcp
sudo ufw enable

列出允许的端口（iptables或ufw）。

sudo iptables -L INPUT -n -v --line-numbers
或
sudo ufw status

如果您计划将来自客户端的日志接受到 Splunk 服务器中，请确保允许 Syslog 和加密 Syslog 的传入端口。

sudo ufw allow 514/udp
sudo ufw allow 6514/udp

第四步

访问 Splunk Web 界面。

成功安装后，打开 Web 浏览器并使用 URL 访问 Splunk 安装向导。

您将被重定向到以下页面：

中文：http://10.211.55.9:8000/zh-CN/account/login?return_to=%2Fzh-CN%2F

填入安装时输入的用户名和密码。进入下面界面

其他配置

配置日志文件

两步将 LINUX 日志发送到 SPLUNK

将 Splunk 服务器添加到客户端计算机上的已知主机列表中，然后告诉 syslog 进程将日志转发到 Splunk。

将以下行添加到 /etc/hosts（注意：替换地址为你的，使用制表符，空格不起作用。）

ip.address.of.splunkserver			 splunkserver

其中 splunkserver 是 Splunk 服务器的名称（例如：上文我们设置的splunk.901.local）。

现在，将以下行添加到 /etc/syslog.conf：

登录后复制

# additional config for sending logs to splunk
*.info						@splunksever

其中 *.info 是您希望发送日志的详细程度。

卸载

登录后复制

rm -rf /opt/splunk
rm -rf /opt/splunkforward