日誌分析利器splunk的搭建、使用、破解

日誌分析利器splunk的搭建、使用、破解

 博主對splunk的瞭解很少，博主的使用目的是爲了同步，分析日誌。當初的搭建也是爲了公司申請牌照須要日誌服務器分析日誌，順便本身也對這方面感興趣就買了本書看了看搭建玩的，後來檢查來了博主也給他們演示了下,splunk到底有多強大，博主如今也玩了個大概，具體的命令使用也只算初級水平，只能說很強大，至於splunk的原理還有更多功能感興趣就去splunk官網或是百度查查看看。
 Splunk 分爲免費 Free 版和企業 Enterprise 版。 SplunkFree 專供我的使用。 SplunkEnterprise 添加了支持多用戶和分佈式部署的功能，幷包括警報、基於角色的安全、單一登陸、預設的 PDF 交付以及對無限數據量的支持。 你可使用瀏覽器訪問 http://zh-hans.splunk.com/download 下載最新版的 Splunk .若是你是第一次訪問 Splunk 網站，須要先註冊一個 Splunk 用戶，默認下載的是 60 天 Enterprise 試用版， 60 天試用以後將自動轉化爲 Free 版，轉化位 Free 版後每日處理的日誌量最高位 00M 。
 對於傳統的syslog日誌同步，博主只能說它們已經out了，算不上一種高大上的方法，awk，grep，sed這些運維人員本身玩玩就行了。splunk提供日誌實時同步，客戶只須要在可視化web 引擎上輸入關鍵字就能夠查詢，也能夠保存上次查詢的命令，也能夠選擇查詢時間的範圍，最主要的是能夠創建每一個應用的索引，不至於應用日誌混亂。

下載軟件包：
splunkserver軟件包 http://pan.baidu.com/s/1dFLOUkx 密碼：2xxy
splunkforward插件 http://pan.baidu.com/s/1sl01KfF 密碼：n7op

博主的軟件包是splunk-6.2.5-272645-linux-2.6-x86_64的rpm包，官網已經出6.2.7的，雖然算不上最新的，可是足夠使用，感興趣能夠去官網下載。

splunk server搭建 
安裝server軟件包：

rpm -ivh splunk-6.2.5-272645-linux-2.6-x86_64.rpm

默認的安裝路徑在/opt/splunk目錄下；

cd /opt/splunkforwarder/bin

./splunk enable boot-start 生成/etc/init.d/splunk 啓動腳本，之後就能夠這樣啓動了

netstat -antple | grep splunk

我有幾張阿里雲幸運券分享給你，用券購買或者升級阿里雲相應產品會有特惠驚喜哦！把想要買的產品的幸運券都領走吧！快下手，立刻就要搶光了。

tcp 0 0 0.0.0.0:8089 0.0.0.0:* LISTEN 0 10651 1582/splunkd 
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 0 11711 1582/splunkd

splunk啓動兩個端口8000和8089,8000爲server web端口，8089位splunkforward端口,同步日誌時使用。
瀏覽器輸入：http://192.168.1.33:8000/

默認的用戶密碼： admin changme

技術分享

添加接收數據同步的端口，首頁默認的端口9997就好：

技術分享

添加一個接收數據端口

技術分享

添加默認的端口就好9997

技術分享

splunk server端操做

創建索引，每一個索引表明一個應用的日誌：

技術分享

博主的splunk都是以前建好的，splunk已經在使用了，下面是一些應用日誌的索引。

技術分享

splunk forward的安裝：
rpm -ivh splunkforwarder-6.2.5-272645-linux-2.6-x86_64.rpm

cd /opt/splunkforwarder/bin

啓動splunk

./splunk start

自啓動splunk

./splunk enable boot-start 生成/etc/init.d/splunk 啓動腳本

客戶端添加轉發器已經鏈接到接收器

./splunk add forward-server 192.168.160.98:9997 //node的ip，也就是splunk forward的ip，也就是n多個你想把日誌同步到splunk server服務器的ip