常用的Splunk命令

查看版本
splunk version

状态、启动、停止、重启
splunk status|start|stop|restart

关闭/开启splunk服务
net stop splunkd
net start splunkd

查看管理端口
splunk show splunkd_port

查看web端口
splunk show web_port

更改端口
splunk set web_port 7897

查看监听
splunk display listen

添加监听
splunk enable listen 9998

修改服务器名
./splunk set servername mysplunk
修改后需要重启splunk

修改主机名
./splunk set default-hostname yzdy
配置后需要重启

修改端口号
./splunk set splunkd-port 8090
./splunk set web-port 8001
修改后重启splunk

修改索引默认位置
索引默认位置:/opt/splunk/var/lib/splunk
可以通过配置文件进行修改
mkdir /quentin/splunk/
splunk stop
cp -rp /opt/splunk/var/lib/splunk/* /quentin/splunk/
vi /opt/splunk/etc/splunk-launch.conf
SPLUNK_DB=/quentin/splunk
splunk start

设置开机自启动
./splunk enable boot-start
查看是否处于开机自启状态
systemctl is-enabled Splunkd

查看索引列表
./splunk list index

创建/删除索引
./splunk add index myindex
./splunk remove index myindex

添加用户
./splunk add user yzdy -password “Qmrg030351” -full-name “New User” -role User

修改用户信息
./splunk edit user yzdy -password “quentin123”

删除用户
./splunk remove user yzdy

添加监控器
./splunk add monitor /var/log/audit/audit.log -index yzdyindex
显示所有监视器
./splunk list monitor

卸载
rm -rf /opt/splunk
rm -rf /opt/splunkforward