基于CentOS的Splunk安装

目标架构：

1台master服务器

2台search服务器

2台indexer服务器

Splunk enterprise版本，通用型转发器

1. 在master，search，indexer服务器上下载安装包并解压：

tar xzvf splunk-6.3.3-f44afce176d0-Linux-x86_64.tgz

2. 启动splunk

cd splunk/bin/

./splunk  start --accept-license

3. 使用浏览器访问：

http://hostname:8000

username: admin

password: changeme

4. 在远程服务器上下载并安装forward：

https://www.splunk.com/en_us/download/universal-forwarder/thank-you-universalforwarder.html

tar xzvf splunkforwarder-6.5.2-67571ef4b87d-Linux-x86_64.tgz

5. 配置forward：

进入splunkforwarder/etc/system/local目录有以下文件：

deploymentclient.conf  inputs.conf  outputs.conf  README  server.conf

inputs.conf,设置本机host

outputs.conf,设置索引器信息：

[tcpout]

defaultGroup = default-autolb-group

[tcpout-server://indexerserver1:9997]

[tcpout-server://indexerserver2:9997]

[tcpout:default-autolb-group]

disabled = false

server = indexerserver1:9997,indexerserver2:9997

deploymentclient.conf,配置deploymentserver信息：

[target-broker:deploymentServer]

targetUri = indexerserver1:8089

6. 配置master节点

登录控制台

点击启用索引器集群

选择主节点：

定义参数，并点击启用主节点：

重启splunk以启用master节点

7. 配置indexer 对等节点：

进入indexer服务器的splunk console，进入索引器集群化中点击启动索引器集群

输入master的IP地址及对等复制端口，并启用对等节点：

重启indexer splunk服务,在master节点的console可以看到相应的对等节点：