Splunk专题之二

BPShare 2020-03-17

2042

上一节，我们从灵魂拷问开始，简单介绍了Splunk，暂时先记住Splunk就是一个数据分析的利器就行。

这一节，我们再深入一点点，来介绍一下Splunk家族产品以及常见的部署方式，另外再简单说一下Splunk的收费方式。

Splunk家族产品

官网上面显示Splunk家族有很多不同产品，但概括起来面向4种不同的应用场景：IT, Security，IoT和商业分析，详见下图。其实你可以理解成不同的解决方案，软件还是那几个软件，只是针对不同的应用场景，Splunk已经帮你开发好了不同的组件，你付钱，直接用就好了。

具体有哪几款软件呢？我们来看看Splunk官网是怎么介绍的。

其实Splunk核心产品也就下面几个：

- Splunk Enterprise：Splunk企业版，适合不差钱的主。试用期60天，试用期间，每天最多index 500MB的数据。

- Splunk Cloud：Splunk云在线版，这个适合没有基础架构的小公司，自己不需要单独搭建Splunk的服务器，直接付钱登录就行。试用期15天，试用期间，每天最多index 5GB的数据。

- Splunk Light：没有找到具体与Splunk Enterprise的区别，但是从简介看，Light版本只是用来做检索日志、做报表和事件监控警告方面用途的。试用期30天，试用期间，每天最多index 5GB的数据。

- Splunk Free：免费，最多一个用户用，每天最多index 500MB的数据。

有关其它Splunk的产品，就不多介绍了，常用的就上面几个。

Splunk的收费模式

Splunk是以每天索引的数据量为依据，不是根据用户数量啊，CPU核数啊，节点数啊来收费的，你是不是觉得很合理，童叟无欺啊！不过对于大部分企业来说，还是贵的，大家都不想花钱啊！毕竟有开源版的，只不过需要自己花点时间精力来学习罢了，再或者做二次开发，以满足自己的需求。

关于Splunk的许可证

Splunk 企业版的许可有两个选项：永久(Perpetual)和期限(Term)。

永久许可证：包括 Splunk企业版的完整功能
期限许可证：可以支付年费，而不是一次性永久许可证费用。

详细请参考Splunk官网或者咨询Splunk代理商吧：

https://www.splunk.com/zh-hans_cn/view/SP-CAAADFV

先声明一下，我们后边的学习，都是基于Splunk Enterprise这个产品来的，如果大家感兴趣，可以留言，我们可以再看看Splunk Cloud。

在介绍Splunk常见部署方式之前，必须要说一下Splunk的重要零部件。Splunk Enterprise由三部分组成：Indexer、Search Head和Forwarder

Indexer: 接收数据的模块，然后把数据做index处理，按照时间的顺序存储在index里。所以在使用Splunk做搜索时，一定要选好时间，这个也是在Splunk官方培训视频里老师一直强调的，利用好时间选择器，可以大大地提高搜索效率。

Search Head: 这哥们儿是负责搜索请求的服务，你想找什么样的数据，告诉他就行了，他会到splunk index里去帮你找到你想要的数据，给你呈现出来。

Forwarder：从字面意思你也可以理解，这哥们儿就是一个搬运工——数据搬运工，很苦逼那种，你只要告诉他什么类型的数据，你给我搬运到哪个indexer，他就会照做，很听你的话。

好了，了解了Splunk这几个零部件之后，我们就来说说Splunk常见的部署架构。

单机部署架构

这种方式也称傻瓜式部署，适用于做PoC啦、个人学习啦，或者数据量不是太大的小部门使用。只是想玩玩儿Splunk的小白，也推荐这种部署方式，直接去官网下载安装包，主流的操作系统都支持：Unix/Linux、Windows、mac，请根据自己的需要下载对应的版本，开箱即用，哦，不是，应该是安装好就可以使用。

单机部署的话，就是Splunk的实例是运行在同一台主机上的，包括Input、Parsing、Indexing和Searching等这几个功能模块。