Splunk安装及其配置数据源

Splunk是一个托管的日志文件管理工具，功能强大，可适配多平台，

Splunk Enterprise企业版

        B/S架构，按许可收费，即每天索引的数据量：购买20GB的许可，则默认每天可索引20G数据量；一次购买永久使用；如果使用试用版，试用期结束之后会切换到免费版。

Splunk Free免费版

        每天最大数据索引量500MB，可使用绝大多数企业版功能。免费版没有例如：身份验证、分布式搜索、集群等功能。

Splunk Forwarder 通用转发器

        Splunk提供的数据采集组件，免费，部署在数据源端。

下载

官网下载需要注册账号，然后选择自己需要的版本就好。

我这里使用的ubuntu，链接直接给出，省去注册步骤

https://download.splunk.com/products/splunk/releases/8.2.5/linux/splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

安装

sudo dpkg -i splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

时间会稍长一会

安装完之后，运行需要到splunk目录下，这里可以直接设置环境变量

首先可以 whereis splunk 查一下安装目录

然后修改环境变量配置文件vi etc/profile

添加下面两行

export SPLUNK_HOME=/opt/splunk
export PATH=$SPLUNK_HOME/bin:$PATH

保存刷新下

source etc/profile

在splunk目录下或者已经增加环境变量的情况下

splunk start

持续回车（描述文件有些长），然后进入安装步骤，期间设置好用户名和密码。

默认运行在8000端口，直接访问

输入设置的用户密码

目前经常使用的是syslog日志配置

另外一台服务器B需要传数据到刚刚配置好的splunk服务器A的情况下，可以按照下面步骤进行配置。

我的ubuntu默认已经安装rsyslog，如果未安装可以运行下面命令安装

apt-get install rsyslog

然后编辑配置文件vi etc/rsyslog.conf

启用tcp传输日志

# Provides TCP syslog reception     #启用TCP进行传输，则取消下面两行的注释
$ModLoad imtcp
$InputTCPServerRun 514
*.* @@splunk服务器地址ip:514

配置好之后，在splunk服务器web页面可进行查询

web日志数据源配置后期更新～