Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1571682
  • 博文数量: 157
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 4116
  • 用 户 组: 普通用户
  • 注册时间: 2013-06-14 18:26
文章分类

全部博文(157)

文章存档

2014年(67)

2013年(90)

分类: 数据库开发技术

2014-01-20 10:31:38

Splunk是一款为任何应用程序、服务器或网络设备所产生的数据建立索引的软件。作为功能强大、多用途的搜索和分析引擎,它可以从单一位置实时调查、故障排除、监视、告警和报告在整个IT架构中发生的所有事件。

  Splunk的主要组件有索引器,搜索器及监控与报警,报告报表,splunk app等功能模块组成。Splunk的可以在单台服务器上部署,也可以分布式部署在整个IT架构中。这里我们首先来进行再单台服务器上的部署。

1.安装启动。可以选择在windows或linux平台进行安装,我这里选择的是RedhatLinux。

在下载回来安装包后放到/opt 目录下直接解压缩即可。目录结构如下:
$ ls

bin            lib                share

copyright.txt  license-eula.txt   splunk-5.0.3-163460-Linux-x86_64-manifest

etc            openssl            var

include        README-splunk.txt
运行如下命令启动splunk,会出现相关协议确认,按回车到底部选择Y确认后splunk就启动了
$bin/splunk start

2.服务器的运行管理
$bin/splunk status
$bin/splunk stop
$bin/splunk start splunkd               启动splunkd进程,也是索引器
$bin/splunk start splunkweb     启动splunk web,也是搜索器

3.启动 Splunk 网站,Splunk 的界面作为 Web 服务器运行,并且在启动后,Splunk会告诉您 Splunk 网站界面的位置。打开浏览器并导航到该位置。默认情况下,Splunk 网站在安装该网站主机的端口 8000 上运行。如果在本地计算机上使用 Splunk,则访问 Splunk网站的 URL 是 。如果您要使用 Enterprise 许可证,第一次启动 Splunk 会转到此登录屏幕。按照消息使用默认凭据进行验证:如果使用 Free 许可证,无需身份验证即可以使用 Splunk。在这种情况下,启动 Splunk 时,您不会看到此登录屏。
wKioL1Lb2TixwL_IAACTsxVcr4o182.jpg

4.导入数据。输入默认用户名admin, 密码changeme后,按提示修改密码即可。登陆后会看到如下页面。
wKiom1Lb2XWzxoFxAAHWt7ZS0yg296.jpg

splunk可以索引的数据包括文件,目录以及TCP,UDP数据流等。我们这里先导入本地的日志。点击右上角“管理器”后单击“导入数据”,如下图,单击“添加数据”按钮
wKioL1Lb2bXDXDPLAAHbTzCFKgk650.jpg

5.单击“文件或文件目录”,以此按提示即可。这里我们先导入本地的整个/var/log 目录。如果需要导入其他服务器上的文件或目录,需要在其他服务器上安装通用转发器,这是分布式部署的内容,我们在下一节做介绍。

wKiom1Lb2fbAzmAbAAHMfOLOYTY255.jpg

6.数据导入成功后就可以进行搜索了。单击页面右上的“应用”-“search”。

wKioL1Lb2gOAqXE5AARK91W-Ec0249.jpg

在搜索框中可以根据相应的关键词进行搜索,也可以直接单击下面的数据源,将列出该数据源所有的条目,然后可以再次进行关键词搜索。以下列举出一部分搜索实例,更复杂的搜索稍后介绍。
source="/opt/apache/logs/access_log" date_hour="12"status=404   用于搜索apache日志中在12点时间段中404的错误
host="SplunkSRV1" sourcetype="apache_error"
阅读(5535) | 评论(0) | 转发(3) |
给主人留下些什么吧!~~