主服务器安装splunk
rpm -ivh splunk.xxx.rpm --force --nodeps #因为这里可能会有报错说/bin/sh is needed by xx
#安装在/opt目录下 ,解压完成后进入splunk的bin目录
cd /opt/splunk/bin
1. 启动splunk
/opt/splunk/bin$ ./splunk start
###开始一段协议### 一直回车然后输入y 同意协议
出现要用户创建一个splunk的账号密码
出现the splunk web interface is at http://ubuntu:8000 #服务器端开启splunk
重要的东西:一定要放开防火墙的配置
iptables -A INPUT -p tcp -d splunk's ip -m multiport --dport 8089(管理端口),9997(数据接收端口) -j ACCEPT
监听本地日志
通过上面的账户密码登录进入splunk管理页面
选择链:
设置 ->数据输入->本地输入->文件&目录->新增
1.选择来源
框中浏览要本地监听的文件
#注意这里的区别 监听window的日志是在一个文件内监听的,但是linux系统的日志可以选择一整个目录
->下一步
2.输入设置
*选择应用上下文,根据监听对应的文件类型进行判断一般都是log文件
*关键点:设置一个新索引,当要收集很多日志的文件的时候,通过这个索引可以事先事件聚合
步骤1. 点击新建索引,设置索引名称后即可保存
3.检查默认通过
4.完成创建
通过转发器监听其他主机的日志
linux转发
将splunkforward安装到/opt目录下解压
rpm -ivh splunkforwardr-xx.rpm
#环境变量添加
export $SPLUNK_HOME=/opt/splunkforwarder
tips:如果有报错信息是关于权限的问题,那就将运行的权限都套在root用户下进行
sudo chown -RP root:root /opt/splunkforwarder
#启动
/opt/splunkforwarder/bin/$ sudo ./splunk enable boot-start
#看完协议后会弹出需要用户设置一个账号密码的交互
#设置管理端口
/opt/splunkforwarder/bin/$ sudo ./splunk set delpoy-pull splunk's ip:8089
#添加数据传送接口
xx/bim$ sudo ./splunk add forward-server ip:自定义端口(只要在splunk管理端创建一个接收端口即可
#linux添加目录监控命令
xx/bin$ ./splunk add monitor 监听路径(可以是目录可以是文件)
#linux查看forwards配置
xx/bin$ ./splunk list forward-server
#重启splunkforward激活配置
systemctl restart splunk
windows转发
域环境安全日志转发
Splunk收集Windows Server域控制器的安全日志(1) - sec_j - 博客园 (cnblogs.com)
@Splunk转发器部署(windows | linux) - ଲ一笑奈&何 - 博客园 (cnblogs.com)
普通环境转发(不在安装时就勾选监听的内容,在splunk上设置监听内容)
Splunk收集Windows Server域控制器的安全日志(1) - sec_j - 博客园 (cnblogs.com)