splunk和splunk forward windows +l

一、splunk安装

splunk作为一款专业的大数据分析软件被大家误解为是日志分析软件真是委屈，但是我就是用它来做日志分析的，呵呵~

splunk分为免费版及专业版，专业版提供60的免费使用，但是对流量有限制，每天上线500M,60天后自动转为免费版。

在官网下载安装包https://www.splunk.com/目前最新版本为7.0.0，下载前需要先注册。哦，注册留了自己的手机号，跟客服姐姐聊了很久。

将下载好的包，放入/usr/local/tools/，我的系统为 centos6.9，splunk支持多个系统的安装，根据自己的需要下载安装包即可。

tar -zxvf splunk-7.0.0-c8a78efdd40f-Linux-x86_64.tgz -C /opt：解压缩，指定解压位置/opt

图1

如图1，opt文件夹下生成一个splunk文件，现在splunk就安装好了。

启动splunk:

cd /opt/splunk/bin

./splunk start

设置splunk开机启动

$SPLUNK_HOME/bin/splunk enable boot-start

根据自己的安装位置调整，这边我们的是：/opt/splunk/bin/splunk enable boot-start

至此，splunk服务器搭建完成，可通过http://ip:8000访问。

初始用户名和密码

图2

配置splunk搜索器，设置==》转发和接收==》新增，端口自己设置啦，这里设置默认端口9997，设置完成，服务器搞定，索引以后根据自己的需求慢慢添加。

图3 图4 图5

二、splunk forward安装

windows安装

splunk forward windows版本依然是在官网下载

这里的安装就比较简单了，选择customize options

图6 图7 图8 图9

这里随便选啦！！！！

图10

这里填写搜索器的ip加默认端口吧，如果搜索器和转发器在一台上就需要修改。

图10

这个呢，要在转发器上提前配置好端口

图11

到这里不用管了，安装好了

图12

接下来

cmd 进入命令行

cd$SPLUNKFORWARD_HOME/bin

splunk.exe add forward-server 172.16.11.247:9997

用户名密码就是你在搜索器上设置的，9997自己在搜索器上设置

图13

重启一遍服务

图14

然后日志就同步上了，主机名什么的，不会。。。不会我也不告诉你，自己查。。。。

图15

splunk forward linux安装

官网下载安装包，安装基本上与splunk类似

创建一个splunk文件，放进安装包

mkdir splunk

tar -zxvf splunkforwarder-7.0.0-c8a78efdd40f-Linux-x86_64.tgz

cd$SPLUNKFORWARD_HOME/bin

启动

./splunk start

./splunk enable boot-start

修改客户端的密码：./splunk edit user admin -password '新密码’ -role admin -auth admin:changeme

配置通用转发器装发的服务器和端口(发送的服务器和端口)：

./splunk add forward-server 172.16.11.247:9997

注册客户端到服务器：./splunk set deploy-poll server_ip:8089

查看默认的监控目录：./splunk list monitor

监控一个目录：./splunk add m

图16

安装完成，可以愉快的收日志了。

splunk的第一次配置之路，over!