首先說下Forwarder的概念。Forwarder是Splunk的一項功能,而非Service。所以它是包含在Splunk服務裡面。它的功能簡單來說就是將一個Splunk客戶端已Index好的資料,Forward到作為Center的Splunk Server裡,目的是為了單介面管理。而Forwarder又可以分為Forwarder和Light Forwarder。Forwarder是將資料Copy一份丟去Center,自己保留一份在客戶本機中,讓管理員可以使用Web介面登入客戶機的Splunk介面作管理;而Light Forwarder是直接將Index好的資料直接丟一份去Center,客戶本機不留Copy。Window機的Light Forwarder保留了本機的Web介面,要手動關閉掉,而*nix機的Light Forwarder則把Web介面也自動關閉掉。
部署服務器端與客戶端的Splunk:
部署接收端:
在接收端,即Center,要指定連接埠,好讓客戶機可以經由訪問此埠以傳送資料。
Splunk>管理>資料傳收>資料接收->接收埠設定
按照喜好設一個不常用的埠吧。如12333,記得如有防火牆則要開啟此埠準備讓Client訪問。
重啟Splunk服務。
部署發送端:
1. 在發送端,即Client,正常安裝一個Splunk,並修改admin密碼
2. Splunk>管理>資料傳收>資料傳送->接收主機設定 裡面加入Center的IP和埠口,格式如 192.168.2.100:12333,此舉將會將Client變成Forwarder,並開始將資料推去Center。
3. 點擊啟用簡易資訊傳收功能。會有警告視窗,告訴你當你啟用後,Web介面將會失效。往後如要設定或取消Splunk的一些功能,則需要使用CLI,即Command Line去操作。
4. 重啟Splunk服務。
就這麼簡單幾步就部署好Light Forwarder。
後註:
如果你想使用Light Forwarder,你可能會希望Client機不會開啟Splunk的Web介面,免得有後續的麻煩,或避免入侵攻擊之類(不竟沒必要的Port最好就不要開,這是金律吧)。做完Light Forwarder後,如window機,則需要關閉掉splunkweb這個服務,並設置手動讓他在重啟電腦時不會載入。Linux機就不需要這個動作,設好Light Forwarder會直接關閉掉8000端口。
參考文章:
