服务器(10)--日志分析利器Splunk简介

一、是什么？

面向机器数据的全文搜索引擎；

（使用搜索引擎的方式处理数据；支持海量级数据处理）

（机器数据是指：设备和软件产生的日志数据、性能数据、网络数据包。这些数据都是一些非结构化的数据，我们可以统一将这些数据统一采集到splunk之后，splunk可以对这些数据进行索引、调查、监控、可视化等。）

准实时的日志处理平台；

基于时间序列的索引器；

大数据分析平台；

一体化的平台：数据采集->存储->分析->可视化；

通用的搜索引擎，不限数据源，不限数据格式；

提供荣获专利的专用搜索语言SPL(Search Processing Language)，语法上类似SQL语言

Splunk Apps 提供更多功能

（针对操作系统、思科网络设备，splunk都提供了专用的APP，接入数据源都可以看到直观的仪盘表。）

二、产品

Splunk Enterprise【企业版】

Splunk Free【免费版】

Splunk Cloud、Splunk Hunk【大数据分析平台】

Splunk Apps【基于企业版的插件】

三、组件

索引器：索引器是用于为数据创建索引的Splunk Enterprise 实例。索引器将原始数据转换为事件并将事件存储至索引(Index)中。索引器还搜索索引数据，以响应搜索请求。

搜索头：在分布式搜索环境中，搜索头是处理搜索管理功能、指引搜索请求至一组搜索节点，然后将结果合并返回至用户的Splunk Enterprise 实例。如果该实例仅搜索不索引，通常被称为专用搜索头。

搜索节点：在分布式搜索环境中，搜索节点是建立索引并完成源自搜索头搜索请求的Splunk Enterprise实例。

转发器：转发器是将数据转发至另一个Splunk Enterprise 实例（索引器或另一个转发器）或至第三方系统的Splunk Enterprise 实例。

接收器：接收器是经配置从转发器接收数据的Splunk Enterprise 实例。接收器为索引器或另一个转发器。

应用：应用是配置、知识对象和客户设计的视图和仪表板的集合，扩展Splunk Enterprise 环境以适应Unix 或Windows 系统管理员、网络安全专家、网站经理、业务分析师等组织团队的特定需求。单个Splunk Enterprise 安装可以同时运行多个应用。

四、Linux上安装Splunk

1)、wget下载tgz的压缩包。

wget -c https://download.splunk.com/products/splunk/releases/6.5.1/linux/splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz ;

2)、解压缩：#tar -zxvf splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz -C /opt (默认我们解压到/opt目录下)

3)、splunk的可执行程序都放在/opt/splunk/bin/下，启动该程序应执行splunk，splunk命令参数如下：

./splunk

start      //启动splunk

--accept-license  //自动接收许可

restart   //重启splunk

status    //查看splunk状态

version   //查看splunk版

开始启动的时候记得记住加上–accept-license，这样更便于我们安装。

4)、Web端口默认8000，浏览器访问：http://192.168.233.128:8000

默认账号密码：admin/changeme

5)、使用