Ubuntu 22.04 安装Splunk Enterprise服务端
-
这里采用安装Splunk Enterprise 8.2.5版本
-
下载安装包
wget -O splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb https://download.splunk.com/products/splunk/releases/8.2.5/linux/splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb -
执行安装
sudo dpkg -i splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb -
正常情况下是没有报错直接安装成功,然后查找安装成功的路径,并执行splunk,根据向导配置登录splunk的用户名和密码,成功之后并启动服务。
-
上述执行都没有问题的话,会在本地侦听8000端口,然后访问该主机的IP和8000端口即可正常访问Splunk服务端了。
配置服务端转发和接收数据
- 这里配置的默认端口是9997
- 之所以这里要配置是为了下面安装Windows Splunk Universal Forwarder做准备。
Windows 安装Splunk客户端(Splunk Universal Forwarder)并配置这个通用转发器
-
下载客户端链接地址
-
https://download.splunk.com/products/universalforwarder/releases/8.2.5/windows/splunkforwarder-8.2.5-77015bc7a462-x64-release.msi
-
参考下载地址
-
https://gist.github.com/devops-school/3247238bfdf8a4cbaf6039a1a38ba516
-
开始安装
-
设置账户和密码,这里设置的账户和密码不需要跟服务端一样,可自定义设置。
账户:admints 密码:admin@998 上述只是测试使用的账户密码 -
继续下一步,这里输入刚才上面部署好的Splunk Enterprise服务端,测试环境对应的IP地址是10.10.16.120
-
继续下一步就是配置接收服务端的IP和端口。
-
点击下一步,然后开始安装。
-
完成安装。
添加Windows事件日志
-
如果上述配置操作都没有问题的话,那么此时在服务端设置-转发管理器的位置就会发现刚才配置的Windows客户端转发器已经上线了。
-
设置-数据输入,找到Windows事件日志选项点击添加操作。
-
选中WINDOWS,并配置名称。
-
选择事件来源日志
-
我这里就只选应用和安全相关的日志了,大家可根据实际情况选择。
-
创建索引或者使用默认索引,我这里是创建一个新的索引。
-
确认是否都操作正确,点击Review一下。
-
没问题然后就提交即可。
-
正常情况下都没有问题,点击Start Searching就可以开始搜索Windows相关日志。
