splunk篇2----------添加数据源

splunk支持多种多样的数据源如图，支持上传文件，支持监控本地的文件（修改后会及时有变化）,配置转发器，db连接等

1.上传文件

     如图，点击上载，一步一步往下走即可。上传后的文件支持搜索，配置字段等操作

2.监视本地文件

如图，点击监视,选择文件或者目录，一步一步往下走即可，这里推荐监视的文件或者目录是结构化的数据，例如json文本后者csv文本。这样后续就行search的时候很方便，就像是使用sql查找数据库一样

3.配置转发器和接收器

  转发器和接收器是分布式架构下的一种发送数据的方式。转发器和接收器是2个splunk实例（即是装了splunk的机器），转发器可以监控本地的目录或文件，然后实时把改变同步到接收器，这样可以再接收端通过spl就行search。实际上很类似2的做法，只不过监控端和接收端不是一台主机。

splunk转发器使用
1.发送端安装通用转发器,设置接收器的地址和端口 ./splunk add forward-server [接收端的ip]:9997
2.接收端设置接收器  ./splunk enable listen 9997 
3.转发器添加监控文件 splunk add monitor C:\Users\XXXX\Desktop\log.txt
4.修改文件，去接收端查看
5.接收端搜索 source="C:\\Users\\XXXX\\Desktop\\log.txt" 

splunkformard 启动C:\Program Files\SplunkUniversalForwarder\bin>splunk start

4.配置db数据源

splunk db数据源依赖应用Splunk DB Connect，下载安装应用后需要重启。以mysql为例

进入配置先配置identity（用户名密码），然后配置connection。很简单，主要就是用户名密码，url等信息。

配置成功后可以在DataLab->SQL Explore进行sql查询

5.通过http 接口发送数据，http event collector

需要先在splunk的http event collector页面新建一个标记(数据通过http接口发送的时候需要携带验证信息，就是标记值)。入口是设置-》数据输入-》http event collector。

新建好了后，发送地址 posthttps://[splunk ip]:8088/services/collector/event，head设置Authorization，value是标记值，body内容是{"event": "assignee","sourcetype":"httptest","fields": {"device": "macbook", "users": ["ychen.yang", "yuwei.tang","lei5412.liu","minghao.wang"]}}，发送成功后会显示

{

    "text": "Success",

    "code": 0

}

。sourcetype值是你新建标记的名称，这块内容网上内容有很多，同是官方文档也有，百度搜索 splunk doc，进入doc，doc里面搜索 http event collector即可见

 通过http接口发送过去的数据也可以通过spl检索到。

这一章主要介绍了常用数据源的配置，一些简单的地方没有介绍详细，你只要耐心一点基本上很快会有心得，配置数据源只是工作重点的一部分，写spl检索出数据源内容则是工作的另一部分重点。下一章会主要介绍spl