Splunk搭建
1.splunk相关介绍请查看splunk技术白皮书。
1.splunk相关介绍请查看splunk技术白皮书。
2.对系统硬件的要求:
注:该软件只支持64位服务器架构
3.splunk架构图:
4.安装(centos):
1.将从官网下载好的tar包移动到/opt目录下,解压:
root@server1 tmp]# mv splunk-6.4.0-f2c836328108-Linux-x86_64.tgz /opt
[root@server1 tmp]# tar –xvzf splunk-6.4.0-f2c836328108-Linux-x86_64.tgz
2.安装splunk:
cd bin/ #进入到bin
./splunk status #查看splunk状态
注:在第一次运行status时会出现提示同意证书并输入密码的信息,此时输入的密码就是登陆到splunk web时的默认密码
./splunk start #启动splunk
3.安装成功可以访问splunk web界面,地址:http://IP:8000 或http://hostname:8000,注意确保8000在服务器上是开放的。 (默认账户:admin,密码是同意证书时候输入的密码)
5.splunk配置:
1.设置splunk开机启动:
./splunk enable boot-start
2.查看进程信息:
ps –f | grep splunk
1.设置splunk开机启动:
./splunk enable boot-start
2.查看进程信息:
ps –f | grep splunk
6.卸载splunk:
cd /opt/splunk/bin
./splunk status
/splunk stop
rm –rf /opt/splunk
7.splunk基本配置CLI命令:
./splunk start //启动
./splunk stop //关闭
./splunk restart //重启
./splunk status //查看状态
./splunk version //查看版本
./splunk show splunkd-port //查看管理端口
./splunk show web-port //查看web登陆管理端口
./splunk set web-port 80 //修改web登陆管理端口为80
./splunk set servername //新的服务器名称 //设置服务器名称
./splunk set default-hostname 新的主机名称 //设置默认主机名称
./splunk enable web-ssl //启用SSL
./splunk disable web-ssl //关闭SSL
./splunk edit user admin –password ‘newpassword’ –authadmin:oldpassword //修改用户密码
./splunk add user //新增用户
./splunk add user 新的用户名 -password ‘新用户密码’ -full-name ‘设置它的全名’ –role User(这个是角色)
./splunk list user //列出用户
./splunk remove user //删除用户