Splunk 使用LightForwarder管理
以下文章是憑記憶寫出來的,所以只描述重點。 首先說下Forwarder的概念。Forwarder是Splunk的一項功能,而非Service。所以它是包含在Splunk服務裡面。它的功能簡單來說就是將一個Splunk客戶端已Index好的資料,Forward到作為Center的Splunk Server裡,目的是為了單介面管理。而Forwarder又可以分為Forwarder和Light Forwarder。Forwarder是將資料Copy一份丟去Center,自己保留一份在客戶本機中,讓管理員可以使用Web介面登入客戶機的Splunk介面作管理;而Light Forwarder是直接將Index好的資料直接丟一份去Center,客戶本機不留Copy。Window機的Light Forwarder保留了本機的Web介面,要手動關閉掉,而*nix機的Light Forwarder則把Web介面也自動關閉掉。 部署服務器端與客戶端的Splunk: 部署接收端: 在接收端,即Center,要指定連接埠,好讓客戶機可以經由訪問此埠以傳送資料。 Splunk>管理>資料傳收>資料接收->接收埠設定 按照喜好設一個不常用的埠吧。如12333,記得如有防火牆則要開啟此埠準備讓Client訪問。 重啟Splunk服務。 部署發送端: 1. 在發送端,即Client,正常安裝一個Splunk,並修改admin密碼 2. Splunk>管理>資料傳收>資料傳送->接收主機設定 裡面加入Center的IP和埠口,格式如 192.168.2.100:12333,此舉將會將Client變成Forwarder,並開始將資料推去Center。 3. 點擊 啟用簡易資訊傳收功能。 會有警告視窗,告訴你當你啟用後,Web介面將會失效。往後如要設定或取消Splunk的一些功能,則需要使用CLI,即Command Line去操作。 4. 重啟Splunk服務。 就這麼簡單幾步就部署好Light Forwarder。 後註: 如果你想使用Light Forwarder,你可能會希望Client機不會開啟Splunk的Web介面,免得有後續的麻煩,或避免入侵攻擊之類(不竟沒必要的Port最好就不要開,這是金律吧)。做完Light Forwarder後,如wi...