搭建并配置splunk

搭建并配置splunk

提前准备:

1.    首先准备两台服务器

     一台作为splunkclient端(192.168.2.180)

     一台作为splunkserver端(192.168.2.144)

2.    下载splunk安装包到本地

     splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz(client端)

     splunkforwarder-6.5.1-f74036626f0c-Linux-x86_64(1).tgz(server端)

 安装部署splunk

1.    上传splunk安装包分别到两台服务器

      #scp splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz [email protected]:/tmp

 

     #scp  splunkforwarder-6.5.1-f74036626f0c-Linux-x86_64(1)[email protected]:/tmp

 

2.    解压并安装splunk

client端:

        1.进入/tmp目录并解压到/opt 下

        #cd  /tmp

        # tar -xvfsplunk-6.5.1-f74036626f0c-Linux-x86_64.tgz -C /opt

       2.进入/opt/splunk/bin下并启动splunk

        #cd /opt/splunk/bin

       #./splunk start

 

启动后会提示splunk端口为8000

 

配置client端splunk

     浏览器访问client端主机8000端口,根据默认用户名密码登录

     登录会提示更改密码,重新填入新密码

     更改完密码后登录,点击设置,点击转发和接受

     接受配置那点击配置接受,添加接受数据端口号(默认是9997)

     新增------填入端口号------点击保存

 

 

 

server端:

        进入/tmp目录并解压

        1.#cd /tmp

         #tar-xvf splunkforwarder-6.5.1-f74036626f0c-Linux-x86_64\(1\).tgz-C /opt

        进入/opt/splunkforwarder/bin目录并启动

        2#.cd/opt/splunkforwarder/bin

        #./splunk start

3.    指定client端(此处需要填写的是splunkforwarder用户名密码。默认为admin/changeme)并查看

       #./splunk add forward-server 192.168.2.180:9997

       #./splunk list forward-server

4.添加要监控的日志文件到web服务器(这里以nginx日志为例)

      #./splunk add monitor/var/log/nginx

 

 

最后重启splunk服务器

 

client端:/opt/splunk/bin

# ./splunk restart

server端:/opt/splunkforwarder/bin

 # ./splunk restart

 

登录client端查询日志

     在搜索那输入“host=  ”就可以查看相关日志了

    *   splunk 每天可以免费查看500MB日志 ,如要查看超过500MB 日志需要购买license

 

增加splunk账号

     点击设置---访问控制---用户---新增 添加账号信息

     输入用户名,全名,邮箱地址。时区,默认应用直接选择默认的

     设置账号密码并点击保存

 

你可能感兴趣的:(Linux)