splunk配置转发和接收

项目需求：将服务器A：192.168.149.200中的某路径下的文件转发到服务器B：192.168.149.100中

实现方法：在服务器A上安装一套splunk Enterprise（splunk自带的重型转发器功能）或者是splunk 通用转发器（splunkforwarder），在服务器B上安装一套splunk Enterprise，用于接收来自A转发的文件数据，并进行索引。转发器的配置大致相同，下面重点讲如何配置转发器（以splunk Enterprise为例）。

实现步骤：
1. 分别在A和B上安装splunk Enterprise，安装方法：将splunk.tar.gz文件上传到服务器中某路径下，并解压即可（如：安装路径为/var/splunk）
2. 在接收服务器B上配置接收端口：设置-转发和接收-配置接收-新增，如下图

配置默认接收端口：9997，配置成功后如下：

3. 在转发器A上进行转发部署，如将服务器A中的日志路径/var/logs/下面的csv文件转发到服务器B的索引csv_log中(需要现在B中建立该索引)
涉及到的配置文件有两个：/var/splunk/etc/system/local/inputs.conf和/var/splunk/etc/system/local/outputs.conf
(1)outputs.conf配置如下：

[tcpout]
defaultGroup = default-autolb-group

[tcpout:default-autolb-group]
server = 192.168.149.100:9997  #转发的目的地址和端口

[tcpout-server://192.168.149.100:9997]

(2)inputs.conf配置如下：

[default]
host = box #此处为默认的，服务器的名字

[monitor:///tmp/logs/*.csv]    #转发日志的路径，这里可以是个具体的文件，也可以包含通配符
sourcetype = csv   #来源类型，也可以不设置，默认自动根据日志匹配
index = csv_log   #转发到B中的索引名

注意：上面三行是一个整体，如果有多个需求，比如将不同路径下的文件转发到B中不同的索引中，可以复制最后三行，修改后追加即可。
[monitor://xxx] 
sourcetype = xxx   
index = xxx 
.....
[monitor://xxx] 
sourcetype = xxx   
index = xxx 

4. 配置完成后，重启splunk即可