服务器(10)--日志分析利器Splunk简介
一、是什么?
面向机器数据的全文搜索引擎;
(使用搜索引擎的方式处理数据;支持海量级数据处理)
(机器数据是指:设备和软件产生的日志数据、性能数据、网络数据包。这些数据都是一些非结构化的数据,我们可以统一将这些数据统一采集到splunk之后,splunk可以对这些数据进行索引、调查、监控、可视化等。)
准实时的日志处理平台;
基于时间序列的索引器;
大数据分析平台;
一体化的平台:数据采集->存储->分析->可视化;
通用的搜索引擎,不限数据源,不限数据格式;
提供荣获专利的专用搜索语言SPL(Search Processing Language),语法上类似SQL语言
Splunk Apps 提供更多功能
(针对操作系统、思科网络设备,splunk都提供了专用的APP,接入数据源都可以看到直观的仪盘表。)
二、产品
Splunk Enterprise【企业版】
Splunk Free【免费版】
Splunk Cloud、Splunk Hunk【大数据分析平台】
Splunk Apps【基于企业版的插件】
三、组件
索引器:索引器是用于为数据创建索引的Splunk Enterprise 实例。索引器将原始数据转换为事件并将事件存储至索引(Index)中。索引器还搜索索引数据,以响应搜索请求。
搜索头:在分布式搜索环境中,搜索头是处理搜索管理功能、指引搜索请求至一组搜索节点,然后将结果合并返回至用户的Splunk Enterprise 实例。如果该实例仅搜索不索引,通常被称为专用搜索头。
搜索节点:在分布式搜索环境中,搜索节点是建立索引并完成源自搜索头搜索请求的Splunk Enterprise实例。
转发器:转发器是将数据转发至另一个Splunk Enterprise 实例(索引器或另一个转发器)或至第三方系统的Splunk Enterprise 实例。
接收器:接收器是经配置从转发器接收数据的Splunk Enterprise 实例。接收器为索引器或另一个转发器。
应用:应用是配置、知识对象和客户设计的视图和仪表板的集合,扩展Splunk Enterprise 环境以适应Unix 或Windows 系统管理员、网络安全专家、网站经理、业务分析师等组织团队的特定需求。单个Splunk Enterprise 安装可以同时运行多个应用。
四、Linux上安装Splunk
1)、wget下载tgz的压缩包。
wget -c https://download.splunk.com/products/splunk/releases/6.5.1/linux/splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz ;
2)、解压缩:#tar -zxvf splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz -C /opt (默认我们解压到/opt目录下)
3)、splunk的可执行程序都放在/opt/splunk/bin/下,启动该程序应执行splunk,splunk命令参数如下:
./splunk
start //启动splunk
--accept-license //自动接收许可
restart //重启splunk
status //查看splunk状态
version //查看splunk版开始启动的时候记得记住加上–accept-license,这样更便于我们安装。
4)、Web端口默认8000,浏览器访问:http://192.168.233.128:8000
默认账号密码:admin/changeme
5)、使用
