本節書摘來自華章計算機《splunk智能運維實戰》一書中的第1章,第1.5節,作者 [美]喬史·戴昆(josh diakun),保羅r.約翰遜(paul r. johnson),德萊克·默克(derek mock),譯 宮鑫,康甯,劉法宗 ,更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
從splunk 5.0以後,可以擴充已有的資料輸入功能,比如建立并分享自定義輸入類型,而且仍可進行小的定制。
子產品輸入建立在腳本輸入模型之上。使用者需要的任何附加功能都必須包含在腳本中。但這就會出現一個問題,因為splunk本身無法自定義這個腳本。比如,當我們想從一個源為兩個不同的使用者名擷取資料時,可能需要兩份腳本,或者需要在腳本輸入配置中改變指令行參數。
利用子產品輸入功能,開發者現在可以将代碼封裝到可複用的應用程式中,這樣它在splunk中能顯示各種參數,并允許splunk管理者通過熟悉的方式來進行配置。
本節将介紹如何安裝指令子產品輸入,它可以周期性執行指令并索引該指令輸出的資料。我們将對輸入進行配置,來收集linux中的vmstat指令或windows中的systeminfo指令輸出的資料。
做好準備
要進行本節的操作,僅需運作splunk伺服器并連接配接網絡。
如何操作
按照下列步驟配置子產品輸入:
1 . 登入splunk伺服器。
2 . 從首頁面左上角的“應用程式”菜單點選“查找更多應用程式”。
3 . 在搜尋字段中,輸入command modular input并單擊搜尋圖示。
4 . 在搜尋結果中單擊“指令子產品輸入”的“免費安裝”按鈕。
5 . 輸入splunk.com的證書并單擊“登入”。splunk将顯示資訊,提示應用程式安裝成功。
6 . 從右上角的主啟動器單擊“設定”菜單,并點選“資料輸入”連結。
7 . 在“資料輸入”頁面,點選“類型”下的“指令”連結。
8 . 點選“建立”。
9 . 在“子產品輸入名稱”字段,輸入systeminfo。
如使用linux系統,在“指令名稱”字段輸入/usr/bin/vmstat。
如使用windows系統,在“指令名稱”字段輸入c:windowssystem32systeminfo.exe。
如果要執行的指令無法從系統路徑找到,需要使用完整路徑。
10 . 在“指令參數”字段中,輸入的任何參數都會被傳到“指令名稱”字段列出的指令中。在“指令執行間隔”字段,以秒為機關輸入值,設定指令執行的頻率(在這一例子中,設定為60秒)。如以流的方式輸出,直接勾選“流輸出”字段。
11 . 在“源類型”部分,可選擇預定義的源類型,也可選擇“手動”并輸入需要的值。出于本節的需要,在源類型選擇“手動”,并輸入cp01_modular_input作為源類型的值。
12 . 點選“儲存”。splunk現已配置好,可以按照設定的間隔每隔60秒來執行提供的子產品輸入。輸入下列指令搜尋“全部時間”的腳本輸入傳回的資料:
工作原理
子產品輸入被捆綁為splunk的應用程式,安裝後,它包含所有必需的配置和編碼,在splunk的“資料輸入”部分能看到。本節中,安裝了一個可周期性執行指令的子產品輸入應用程式。為其配置指令,使其每分鐘執行并索引每次指令的結果,指定結果的源類型為cp01_modular_input。
子產品輸入可以用多種語言編寫。它需要遵循一套界面,顯示配置選項和運作時行為。根據輸入的設定,它們可以持續運作也可以間隔運作,并在接收資料後發送資料到splunk。
更多内容
另參見