Splunk對於各種日誌的監測非常好用,個人感覺它與Ganglia的最大不同點在於:Ganglia只是採集實時的數據並顯示,不會對這些數據進行存儲和備份,但是Splunk會將監測到的數據進行存儲,並對這些數據進行有效的索引。另外,Splunk對於日誌數據的分析功能也十分強大,它支持對於日誌信息的檢索,它定義了一種類似SQL語句的查詢語法,能夠針對日誌數據中的不同字段進行查詢。當然,你可以根據需要認爲指定需要的字段,這一點類似於MongleDB這樣的文檔數據庫,即沒有Schema的限制。最後,Splunk能夠對檢測數據生成美觀的報表。
Splunk分爲免費版和商業版,免費版最大的限制就是每天增加的日誌量不能超過500M。所以,如果只是檢測單機的情況,免費版是夠用的.
1. Splunk基本組成部分
Splunk關鍵的組成部分包括:Search Head、Indexer、Forwarder。
Search Head: 提供對於監測數據的查詢功能,並且提供Web訪問服務;
Indexer: 用於對收集的日誌數據進行索引;
Forwarder:用於收集本地的日誌信息,發送給Indexer和Search Head。
2. Splunk下載、安裝
1,下載軟件從splunk官網http://www.splunk.com/download
Splunk: http://www.splunk.com/download/splunk-6.1.3-220630-linux-2.6-x86_64.rpm
Splunk Universal Forwarder: http://www.splunk.com/download/universalforwarder
2,安裝軟件 rpm-ivh splunk-6.1.3-220630-linux-2.6-x86_64.rpm
3,初次運行splunk:/opt/splunk/bin/splunk start
4,從WEB頁面訪問splunk:http://localhost:8000/
首次默認帳號會進行提示:
username: admin
password:changeme
官方splunk文檔:http://docs.splunk.com/Documentation/Splunk/6.0.5