Splunk初识
文章源自【字节脉搏社区】-字节脉搏实验室
作者-sher10ck
Windows下进行安装
下载地址:https://www.splunk.com/zh-hans_cn/download.html 这里要注册用户才可以使用,随便填写资料。
看来默认绑定了8000端口,安装的时候会让你输入账号密码,这里我们登陆。
Linux进行安装
这里我下载了tgz格式的文件,下载好之后进行解压,进入splunk目录下然后运行
bin/splunk start他会让你同意一个协议,输入初始的用户名和密码
也是开在了8000端口,访问:
Splunk基本命令
./splunk start //启动
./splunk stop //关闭
./splunk restart //重启
./splunk status //查看状态
./splunk version //查看版本
./splunk show splunkd-port //查看管理端口
./splunk show web-port //查看web登陆管理端口
./splunk set web-port 80 //修改web登陆管理端口为80
./splunk set servername //新的服务器名称 //设置服务器名称
./splunk set default-hostname 新的主机名称 //设置默认主机名称
./splunk enable web-ssl //启用SSL
./splunk disable web-ssl //关闭SSL
./splunk edit user admin –password ‘newpassword’ –authadmin:oldpassword //修改用户密码
./splunk add user //新增用户
./splunk add user 新的用户名 -password ‘新用户密码’ -full-name ‘设置它的全名’ –role User(这个是角色)
./splunk list user //列出用户
./splunk remove user //删除用户导入日志文件
这里选择添加数据
选择监控
因为我们这里是本地上传,所以我们选择文件和目录选项,选定我们的路径,然后点击下一步
会让我们选择设置来源类型,估计splunk自动就会识别类型,这里并不需要修改,点击下一步
这一步是让我们设置索引,你可以自己设置一个索引,也可以使用默认的
然后一直点击下一步,等一会就可以开始搜索了
在搜索框里面就可以搜索指定的内容
要是退出了这个搜索的页面,下一次我们可以通过点击主页面上的活动->任务,选择里面的任务就可以重新返回到搜索页面。
上传zip文件也是这个思路
Splunk搜索语言
head n //返回前n个
tail n //返回后n个
top //显示字段最常见/出现次数最多的值
rare //显示字段出现次数最少的值
limit //限制查询,如:limit 5,限制结果的前5条
rename xx as zz //为xx字段设置别名为zz,多个之间用 ,隔开
fields //保留或删除搜索结果中的字段。fiels – xx 删除xx字段,保留则不需要 – 符号
table //返回仅由参数中指定的字段所形成的表。如:table _time,clientip,返回的列表中只有这两个字段,多个字段用逗号隔开
stats count() :括号中可以插入字段,主要作用对事件进行计数
stats dc():distinct count,去重之后对唯一值进行统计
stats values(),去重复后列出括号中的字段内容
stats list(),未去重之后列出括号指定字段的内容
stats avg(),求平均值Splunk监视本地数据
这里和上面上传文件是一样的思路,这里尝试去监控phpstudy里面的apache日志,设置如下 主页添加数据->监视->文件和目录
不过这里它好像不会主动刷新,要点击搜索或者刷新页面,才会有新的日志
Splunk监视远程数据
这个地方要下载splunk forwarder:https://www.splunk.com/en_us/download/universal-forwarder.html
将下载好的splunkforwarder放到远程需要监听的服务器上,解压,配置转发器
cd bin/
ps aux | grep splunk
./splunk start
./splunk add forward-server 198.46.145.77:9997
./splunk add forward-server 198.46.145.77:9997 -auth admin:changeme
./splunk list forward-server
./splunk add monitor /var/log/apache2/ -index linuxaudit我们的接收端要做两个事情,设置索引和配置接收的端口
接收的端口在设置,转发和接收,新建,添加一个9997端口
最后我们在主界面应用Search & Reporting中搜索 index=”linuxaudit” 我们监控的远程日志就会显示到这边来了
参考链接
https://www.cnblogs.com/digod/p/9626882.html