CentOS7下部署Splunk Enterprise 8.0.5 Linux特别版

什么是Splunk

Splunk 是机器数据的全文搜索引擎。

机器数据是指：设备和软件产生的日志数据、性能数据、网络数据包。

这些数据都是一些非结构化的数据，我们可以统一将这些数据统一采集到splunk之后，splunk可以对这些数据进行索引、调查、监控、可视化等。

使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。

(图片可点击放大查看)

Splunk特点

• 1、面向机器数据的全文搜索引擎；（使用搜索引擎的方式处理数据；支持海量级数据处理）
• 2、准实时的日志处理平台；
• 3、基于时间序列的索引器；
• 4、大数据分析平台；一体化的平台：数据采集->存储->分析->可视化；
• 5、通用的搜索引擎，不限数据源，不限数据格式；
• 6、提供荣获专利的专用搜索语言SPL(Search Processing Language)，语法上类似SQL语言
• 7、Splunk Apps 提供更多功能（针对操作系统、思科网络设备，splunk都提供了专用的APP，接入数据源都可以看到直观的仪盘表。）

下面介绍CentOS7.9 下安装部署Splunk8.0.5企业版

1、下载splunk Linux RPM版安装包

你需要注册一个splunk账号来下载 下载地址

https://www.splunk.com/en_us/download/splunk-enterprise.html#tabs/linux

(图片可点击放大查看)

最新版本为Splunk Enterprise 8.2.1

这里我选择Older Releases

找到8.0.5的rpm安装包

https://download.splunk.com/products/splunk/releases/8.0.5/linux/splunk-8.0.5-a1a6394cc5ae-linux-2.6-x86_64.rpm

(图片可点击放大查看)

2、上传并安装

SFTP方式上传

(图片可点击放大查看)

rpm -ivh rpm -ivh splunk-8.0.5-a1a6394cc5ae-linux-2.6-x86_64.rpm

(图片可点击放大查看)

3、patch工具

chmod 755 splunk-805-linux-patch-sysin.org.bin
./splunk-805-linux-patch-sysin.org.bin 

(图片可点击放大查看)

4、启动splunk

cd /opt/splunk/
./splunk start

按向导进行配置

(图片可点击放大查看)

(图片可点击放大查看)

最后防火墙放开8000端口

firewall-cmd  --permanent  --zone=public --add-port=8000/tcp
firewall-cmd --reload

(图片可点击放大查看)

5、登录splunk

(图片可点击放大查看)

可以看到集成 100T 许可

(图片可点击放大查看)

6、导入文本型日志

例如我导入某Linux服务器/var/log/secure系统安全日志

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

7、测试添加UDP syslog的日志数据

(图片可点击放大查看)

8、搜索功能

支持钻取搜索

(图片可点击放大查看)

(图片可点击放大查看)

当然Splunk的功能相当强大，上面只是简单试用，后续再有机会再研究