日志處理引擎SPLUNK
Splunk分為免費Free版和企業Enterprise版。SplunkFree專供個人使用。SplunkEnterprise添加了支援多使用者和分布式部署的功能,并包括警報、基于角色的安全、單一登入、預設的PDF傳遞以及對無限資料量的支援。
你可以使用浏覽器通路http://zh-hans.splunk.com/download下載下傳最新版的Splunk。如果你是第一次通路Splunk網站,需要先注冊一個Splunk使用者,預設下載下傳的是60天Enterprise試用版,60天試用之後将自動轉化為Free版,轉化位Free版後每日處理的日志量最高位500M。
Splunk 192.168.0.116
用戶端192.168.0.117
192.168.0.116配置
#rpm -ivh splunk-5.0.2-149561.i386.rpm
#/opt/splunk/bin/splunk start
#/opt/splunk/bin/splunk status
splunkdis running (PID: 7730).
splunkhelpers are running (PIDs: 7731).
splunkwebis running (PID: 7788).
開機啟動Splunk
vim /root/.bashrc
export PATH=/opt/splunk/bin/:$PATH
. /root/.bashrc
#/opt/splunk/bin/splunkenableboot-start
Initscript installed at /etc/init.d/splunk.
Initscript is not configured to run at boot.可以忽略這句話
[[email protected]~]# chkconfig --list |grep splunk
splunk0:關閉1:關閉2:啟用3:啟用4:啟用5:啟用6:關閉
#/etc/init.d/splunkstop
#/etc/init.d/splunk start
可以打開浏覽器http://192.168.0.116:8000
執行個體:添加本地syslog到Splunk時時更新日志
管理--資料導入--添加資料---sysylog--下一步---路徑--繼續--儲存--傳回---聯機
1.設定Splunk伺服器允許接收Splunk Forwarder發送的資料。
進入“Splunk配置首頁”,選點右上角的“管理器”,在“資料”類裡找到“轉
發和接收”。在“接收資料”項中,點選“新增”,Splunk預設接收轉發器連接配接到端口是9997,我們需要将端口填入“輸入框”中。點選儲存後,Splunk服務預設會打開tcp的9997端口用于監聽
2.配置Splunk Forwarder端用戶端
安裝軟體:
# rpm -ivh splunkforwarder-5.0.2-149561.i386.rpm
啟動:
#/opt/splunkforwarder/bin/splunk start
伺服器端改的配置其轉發到192.168.0.116主機的9997端口。預設使用者名為admin,密碼是changeme.
下面的都是用戶端192.168.0.117
# /opt/splunkforwarder/bin/splunk add forward-server192.168.131.203:9997
改密碼
#/opt/splunkforwarder/bin/splunk edit user admin -password123456–authadmin:changeme
[[email protected] ~]#vim ~/.bashrc
exportSPLUNK_HOME=/opt/splunkforwarder
exportPATH=$SPLUNK_HOME/bin:$PATH
配置轉發檔案
#pwd
/opt/splunkforwarder/etc/system/local
#ls
inputs.confoutputs.conf README server.conf
配置檔案outputs.conf,配置伺服器轉發目标位址和轉發狀态:
[tcpout]
defaultGroup= default-autolb-group
[tcpout:default-autolb-group]
server= 192.168.131.150:9997
[tcpout-server://192.168.0.117:9997]
配置檔案inputs.conf,配置本地需要轉發的日志檔案和日志檔案類型:
[[email protected]]# cat inputs.conf
[default]
host= web
[monitor:///var/log/httpd]
sourcetype= access_common
修改inputs.conf檔案後重新開機splunk forwarder
測試:登陸http://192.168.0.116:8000,點選“應用”-----〉“search”。
注意:0位元組的日志檔案不會被轉發
多次通路網站後,日志會不斷更新,splunk中也會不斷更新。
Splunk應用擴充簡介
Splunk作為一個可擴充的日志分析平台目前支援基于API的擴充,第三方可以基于Splunk的API編寫Splunk應用擴充。通過Splunk應用擴充,可以增強Splunk對資料的
進一步分析。安裝Splunk應用可以通過Splunk的web界面,也可以通過Splunk的文本控制界面。
連接配接https://192.168.0.116:8000,點選“管理器”:
點選“應用”,打開“應用管理界面”頁:
我們可以通過三種方式安裝或建立新應用:
1.聯機查找更多應用:如果你可以連接配接網際網路,這是一個友善的安裝應用方式
2.從檔案安裝應用:如果你無法連接配接網際網路,可以通過這種方式将下載下傳好的應用安
裝到Splunk中
3.建立應用:如果你是splunk第三方開發或是有自己的使用系統,可以通過這個選
型建立自己的應用
在此頁中,我們可以控制“應用”的狀态,可以通過web界面“啟用”或“禁用”應用,并且配置應用的某些屬性。
執行個體:Splunk Unix本地性能監視應用
可以在“聯機查找更多應用”中
檔案名為“unix.tar.gz”。在/splunk目錄下的app下可以通過“從檔案安裝應用”來安裝它。
點選“應用管理界面”頁裡的“從檔案安裝應用”,進入“上載應用”頁。
splunk服務重新開機完成後,會要求你在浏覽器中重新登陸。
登陸後在右上角的“應用”下拉菜單中,我們會發現一個新的應用“*NIX4.6”,點選“*NIX4.6”,進入“SplunkFor Unix and Linux”應用。由于是第一次進入,我們需要去設定這個應用:
安裝完後提示你重新開機服務的-----〉Configure進入配置頁面
-----------打開監控項目Enable打開所需的檢測------save儲存------過一會就會搜集完資料圖表慢慢變化
執行個體:SplunkUnix異地性能監視應用
通過配置其他主機的splunk轉發到伺服器上彙總
在用戶端同上安裝Splunk_TA_nix.tar.gz
安裝:下面都是在用戶端操作的
#echo $SPLUNK_HOME
/opt/splunkforwarder
#tar xvzf Splunk_TA_nix.tar.gz -C $SPLUNK_HOME/etc/apps
#chown splunk.splunk $SPLUNK_HOME/etc/apps/Splunk_TA_nix –R
配置:
#mkdir $SPLUNK_HOME/etc/apps/Splunk_TA_nix/local
#cp $SPLUNK_HOME/etc/apps/Splunk_TA_nix/default/inputs.conf
$SPLUNK_HOME/etc/apps/Splunk_TA_nix/local
将inputs.conf檔案從default目錄下拷貝到local目錄下,然後編輯inputs.conf檔案。
将你需要轉發的資料項disabled= 1改為disabled= 0。
你可以在末行:%s/1/0/g整體替換1到0
#Copyright (C) 2005-2011 Splunk Inc. All Rights Reserved.
[script://./bin/vmstat.sh]
interval= 60
sourcetype= vmstat
source= vmstat
index= os
disabled= 0
[script://./bin/iostat.sh]
interval= 60
sourcetype= iostat
source= iostat
index= os
disabled= 0
[script://./bin/ps.sh]
interval= 30
sourcetype= ps
source= ps
index= os
disabled= 0
[script://./bin/top.sh]
interval= 60
sourcetype= top
source= top
index= os
disabled= 0
[script://./bin/netstat.sh]
interval= 60
sourcetype= netstat
source= netstat
index= os
disabled= 0
[script://./bin/protocol.sh]
interval= 60
sourcetype= protocol
source= protocol
index= os
disabled= 0
[script://./bin/openPorts.sh]
interval= 300
sourcetype= openPorts
source= openPorts
index= os
disabled= 0
[script://./bin/time.sh]
interval= 21600
sourcetype= time
source= time
index= os
disabled= 1
[script://./bin/lsof.sh]
interval= 600
sourcetype= lsof
source= lsof
index= os
disabled= 0
[script://./bin/df.sh]
interval= 300
sourcetype= df
source= df
index= os
disabled= 0
#Shows current user sessions
[script://./bin/who.sh]
sourcetype= who
source= who
interval= 150
index= os
disabled= 1
#Lists users who could login (i.e., they are assigned a login shell)
[script://./bin/usersWithLoginPrivs.sh]
sourcetype= usersWithLoginPrivs
source= usersWithLoginPrivs
interval= 3600
index= os
disabled= 1
#Shows last login time for users who have ever logged in
[script://./bin/lastlog.sh]
sourcetype= lastlog
source= lastlog
interval= 300
index= os
disabled= 0
#Shows stats per link-level Etherner interface (simply, NIC)
[script://./bin/interfaces.sh]
sourcetype= interfaces
source= interfaces
interval= 60
index= os
disabled= 0
#Shows stats per CPU (useful for SMP machines)
[script://./bin/cpu.sh]
sourcetype= cpu
source= cpu
interval= 30
index= os
disabled= 0
#This script reads the auditd logs translated with ausearch
[script://./bin/rlog.sh]
sourcetype= auditd
source= auditd
interval= 60
index= os
disabled= 1
#Run package management tool collect installed packages
[script://./bin/package.sh]
sourcetype= package
source= package
interval= 3600
index= os
disabled= 0
[script://./bin/hardware.sh]
sourcetype= hardware
source= hardware
interval= 36000
index= os
disabled= 0
#splunk restart
如果你的配置一切正常,你會在http://192.168.0.116:8000上,“*NIX
4.6”應用頁上看到“主機”部分新增伺服器。
在“CPU by Host”标簽頁中,将看到兩台主機cpu資料資訊