搭建并配置splunk

搭建并配置splunk

提前准备：

1.    首先准备两台服务器

     一台作为splunkclient端（192.168.2.180）

     一台作为splunkserver端(192.168.2.144)

2.    下载splunk安装包到本地

     splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz（client端）

     splunkforwarder-6.5.1-f74036626f0c-Linux-x86_64(1).tgz（server端）

 安装部署splunk

1.    上传splunk安装包分别到两台服务器

      #scp splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz root@102.168.2.180:/tmp

 

     #scp  splunkforwarder-6.5.1-f74036626f0c-Linux-x86_64(1).tgzroot@192.168.2.144:/tmp

 

2.    解压并安装splunk

client端：

        1.进入/tmp目录并解压到/opt 下

        #cd  /tmp

        # tar -xvfsplunk-6.5.1-f74036626f0c-Linux-x86_64.tgz -C /opt

       2.进入/opt/splunk/bin下并启动splunk

        #cd /opt/splunk/bin

       #./splunk start

 

启动后会提示splunk端口为8000

 

配置client端splunk

     浏览器访问client端主机8000端口，根据默认用户名密码登录

     登录会提示更改密码，重新填入新密码

     更改完密码后登录，点击设置，点击转发和接受

     接受配置那点击配置接受，添加接受数据端口号（默认是9997）

     新增------填入端口号------点击保存

 

 

 

server端：

        进入/tmp目录并解压

        1.#cd /tmp

         #tar-xvf splunkforwarder-6.5.1-f74036626f0c-Linux-x86_64\(1\).tgz-C /opt

        进入/opt/splunkforwarder/bin目录并启动

        2#.cd/opt/splunkforwarder/bin

        #./splunk start

3.    指定client端（此处需要填写的是splunkforwarder用户名密码。默认为admin/changeme）并查看

       #./splunk add forward-server 192.168.2.180:9997

       #./splunk list forward-server

4.添加要监控的日志文件到web服务器(这里以nginx日志为例)

      #./splunk add monitor/var/log/nginx

 

 

最后重启splunk服务器

 

client端：/opt/splunk/bin

# ./splunk restart

server端:/opt/splunkforwarder/bin

 # ./splunk restart

 

登录client端查询日志

     在搜索那输入“host=  ”就可以查看相关日志了

    *   splunk 每天可以免费查看500MB日志 ，如要查看超过500MB 日志需要购买license

 

增加splunk账号

     点击设置---访问控制---用户---新增 添加账号信息

     输入用户名，全名，邮箱地址。时区，默认应用直接选择默认的

     设置账号密码并点击保存