splunk與syslog創建強大的日誌服務器

splunk是什麼？

Splunk 是一個運行於 Unix 環境下的日誌分析軟件.與 Google Analytics 這一類的 Web 日誌分析軟件的不一樣之處在於，Splunk 能夠支持任何服務器產生的日誌，其對日誌進行處理的方式是進行高效索引以後讓管理員能夠對日誌中出現的各類狀況進行搜索，而且經過很是好的圖形化的方式展示出來。

天天由各類服務器所產生的日誌的數量是很是驚人的，而遇到突發狀況時，卻每每可以從這些海量日誌中找到最多的有用消息。一般在 Unix 下對日誌進行查找使用的是 grep 之類的低效率的方式，而 Splunk 使用了現代搜索引擎技術對日誌進行搜索，同時提供了一個很是強大的 AJAX 式的界面展示日誌(文字來自互聯網)。

需關閉selinux

vi /etc/sysconfig/selinux 
SELINUX=disabled 
setenforce 0

開始安裝

wget http://download.splunk.com/releases/3.4.9/linux/splunk-3.4.9-57762-Linux-i686.tgz 
tar -zxvf splunk-3.4.9-57762-Linux-i686.tgz 
cd .. 
mv splunk /usr/local 
cd /usr/local/splunk/bin 
./splunk enable boot-start 
/etc/init.d/splunk start

netstat -an 
0.0.0.0:8000 
0.0.0.0:8089

監聽以上兩個端口則完成安裝。

界面截圖

整合syslog

添加syslog-ng步驟：

在Admin->Data Inputs->Network Ports上點選New Input.選擇TCP 9998 port, Set Source Type選Form List,Source Type選Syslog,這樣的設定就能夠給Syslog-ng傳log了。

添加syslog步驟：

再重複一次添加syslog-ng的步驟，可是端口要改爲UDP 514就能夠了。

客戶端

vi /etc/syslog.conf 
*.*      @192.168.0.100(log server ip)

架構圖

參考文章： http://deidara.blog.51cto.com/400447/102649 http://www.linuxtone.org/html/74/t-1874.html http://jackiechen.blog.51cto.com/196075/150222 http://viml.nchc.org.tw/blog/paper_info.php?CLASS_ID=1&SUB_ID=1&PAPER_ID=88 http://chinaonrails.com/topic/view/1751.html http://www.igvita.com/2008/10/22/distributed-logging-syslog-ng-splunk/ http://jackiechen.blog.51cto.com/196075/149860 http://blog.sina.com.cn/s/blog_4a071ed80100cssu.html http://splunk.blog.51cto.com/711171/142667