Splunk是一款爲任何應用程序、服務器或網絡設備所產生的數據建立索引的軟件。作爲功能強大、多用途的搜索和分析引擎,它可以從單一位置實時調查、故障排除、監視、告警和報告在整個IT架構中發生的所有事件。
Splunk的主要組件有索引器,搜索器及監控與報警,報告報表,splunk app等功能模塊組成。Splunk的可以在單臺服務器上部署,也可以分佈式部署在整個IT架構中。這裏我們首先來進行再單臺服務器上的部署。
1.安裝啓動。可以選擇在windows或linux平臺進行安裝,我這裏選擇的是RedhatLinux。
在www.splunk.com下載回來安裝包後放到/opt 目錄下直接解壓縮即可。目錄結構如下:
$ ls
bin lib share
copyright.txt license-eula.txt splunk-5.0.3-163460-Linux-x86_64-manifest
etc openssl var
include README-splunk.txt
運行如下命令啓動splunk,會出現相關協議確認,按回車到底部選擇Y確認後splunk就啓動了
$bin/splunk start
2.服務器的運行管理
$bin/splunk status
$bin/splunk stop
$bin/splunk start splunkd 啓動splunkd進程,也是索引器
$bin/splunk start splunkweb 啓動splunk web,也是搜索器
3.啓動 Splunk 網站,Splunk 的界面作爲 Web 服務器運行,並且在啓動後,Splunk會告訴您 Splunk 網站界面的位置。打開瀏覽器並導航到該位置。默認情況下,Splunk 網站在安裝該網站主機的端口 8000 上運行。如果在本地計算機上使用 Splunk,則訪問 Splunk網站的 URL 是 http://localhost:8000。如果您要使用 Enterprise 許可證,第一次啓動 Splunk 會轉到此登錄屏幕。按照消息使用默認憑據進行驗證:如果使用 Free 許可證,無需身份驗證即可以使用 Splunk。在這種情況下,啓動 Splunk 時,您不會看到此登錄屏。
4.導入數據。輸入默認用戶名admin, 密碼changeme後,按提示修改密碼即可。登陸後會看到如下頁面。
splunk可以索引的數據包括文件,目錄以及TCP,UDP數據流等。我們這裏先導入本地的日誌。點擊右上角“管理器”後單擊“導入數據”,如下圖,單擊“添加數據”按鈕
5.單擊“文件或文件目錄”,以此按提示即可。這裏我們先導入本地的整個/var/log 目錄。如果需要導入其他服務器上的文件或目錄,需要在其他服務器上安裝通用轉發器,這是分佈式部署的內容,我們在下一節做介紹。
6.數據導入成功後就可以進行搜索了。單擊頁面右上的“應用”-“search”。
在搜索框中可以根據相應的關鍵詞進行搜索,也可以直接單擊下面的數據源,將列出該數據源所有的條目,然後可以再次進行關鍵詞搜索。以下列舉出一部分搜索實例,更復雜的搜索稍後介紹。
source="/opt/apache/logs/access_log" date_hour="12"status=404 用於搜索apache日誌中在12點時間段中404的錯誤
host="SplunkSRV1" sourcetype="apache_error"