Splunk是一款为任何应用程序、服务器或网络设备所产生的数据建立索引的软件。作为功能强大、多用途的搜索和分析引擎,它可以从单一位置实时调查、故障排除、监视、告警和报告在整个IT架构中发生的所有事件。
Splunk的主要组件有索引器,搜索器及监控与报警,报告报表,splunk app等功能模块组成。Splunk的可以在单台服务器上部署,也可以分布式部署在整个IT架构中。这里我们首先来进行再单台服务器上的部署。
1.安装启动。可以选择在windows或linux平台进行安装,我这里选择的是RedhatLinux。
在下载回来安装包后放到/opt 目录下直接解压缩即可。目录结构如下:
$ ls
bin lib share
copyright.txt license-eula.txt splunk-5.0.3-163460-Linux-x86_64-manifest
etc openssl var
include README-splunk.txt
运行如下命令启动splunk,会出现相关协议确认,按回车到底部选择Y确认后splunk就启动了
$bin/splunk start
2.服务器的运行管理
$bin/splunk status
$bin/splunk stop
$bin/splunk start splunkd 启动splunkd进程,也是索引器
$bin/splunk start splunkweb 启动splunk web,也是搜索器
3.启动 Splunk 网站,Splunk 的界面作为 Web 服务器运行,并且在启动后,Splunk会告诉您 Splunk 网站界面的位置。打开浏览器并导航到该位置。默认情况下,Splunk 网站在安装该网站主机的端口 8000 上运行。如果在本地计算机上使用 Splunk,则访问 Splunk网站的 URL 是 。如果您要使用 Enterprise 许可证,第一次启动 Splunk 会转到此登录屏幕。按照消息使用默认凭据进行验证:如果使用 Free 许可证,无需身份验证即可以使用 Splunk。在这种情况下,启动 Splunk 时,您不会看到此登录屏。
wKioL1Lb2TixwL_IAACTsxVcr4o182.jpg
4.导入数据。输入默认用户名admin, 密码changeme后,按提示修改密码即可。登陆后会看到如下页面。
wKiom1Lb2XWzxoFxAAHWt7ZS0yg296.jpg
splunk可以索引的数据包括文件,目录以及TCP,UDP数据流等。我们这里先导入本地的日志。点击右上角“管理器”后单击“导入数据”,如下图,单击“添加数据”按钮
wKioL1Lb2bXDXDPLAAHbTzCFKgk650.jpg
5.单击“文件或文件目录”,以此按提示即可。这里我们先导入本地的整个/var/log 目录。如果需要导入其他服务器上的文件或目录,需要在其他服务器上安装通用转发器,这是分布式部署的内容,我们在下一节做介绍。
wKiom1Lb2fbAzmAbAAHMfOLOYTY255.jpg
6.数据导入成功后就可以进行搜索了。单击页面右上的“应用”-“search”。
wKioL1Lb2gOAqXE5AARK91W-Ec0249.jpg
在搜索框中可以根据相应的关键词进行搜索,也可以直接单击下面的数据源,将列出该数据源所有的条目,然后可以再次进行关键词搜索。以下列举出一部分搜索实例,更复杂的搜索稍后介绍。
source="/opt/apache/logs/access_log" date_hour="12"status=404 用于搜索apache日志中在12点时间段中404的错误
host="SplunkSRV1" sourcetype="apache_error"
阅读(5535) | 评论(0) | 转发(3) |