Splunk Enterprise实践一

一、前言

前面写了有两篇文章都是手册和书籍的学习笔记,这篇我准备完整的去记录项目中使用到的Splunk的网络架构以及遇到的一些故障问题,内容分三部分,一部分为整体的网络架构,一部分是具体的实现操作以及具体的配置等等以及故障解决。

二、网络拓扑

051
上图使用一台Splunk Enterprise来做查询,两台Splunk Enterprise来做index存储数据
UF1部署了通用转发器和syslog服务器,其中syslog服务器将系统日志集中采集,然后通过转发器输入日志数据并将数据分发到两台index上
UF2上是核心业务日志,会在每台核心业务机器上部署一个转发器直接分发到两台index
UF3上是各类应用日志,如oracle mysql等,也是在每一台应用服务器上部署转发器直接分发到两台index
备注:上图的UF1 UF2 UF3只是为了标识,它们都是同一版本的转发器

三、具体配置

3.1.服务器信息

  • Search 10.8.8.2
  • Index1 10.8.8.5
  • Index2 10.8.8.6
  • UF 10.8.8.3
    现在我们通过rsyslog将2、5、6的系统日子分别采集到3的目录/data/linux下面,如下图所示
    0517
    如何采集可以参考我另外一篇文章rsyslog服务的部署

3.2.启用索引接收器

这里有两台索引,所以需要分别在两台服务器5、6上进行配置,启用接收器方式很多,这里我们采用配置文件方式
cat /opt/splunk/etc/system/local/inputs.conf

[splunktcp://9997]
disabled = 0

systemctl restart splunk

3.3.配置UF

将UF配置为将数据发送至索引接收器
在3上执行命令
splunk add forward-server 10.8.8.5:9997
splunk add forward-server 10.8.8.6:9997
这两条命令会自动创建一个文件outputs.conf
cat /opt/splunkforwarder/etc/system/local/outputs.conf

[tcpout]
defaultGroup = default-autolb-group

[tcpout-server://10.8.8.5:9997]

[tcpout:default-autolb-group]
disabled = false
server = 10.8.8.5:9997,10.8.8.6:9997

[tcpout-server://10.8.8.6:9997]

定义转发器的输入
在3上进行配置
cat /opt/splunkforwarder/etc/system/local/inputs.conf

[monitor:///data/linux_log/.../*.log]
whitelist=\.log$
host_segment=3
sourcetype=linux_sys
index=linuxsyslog

注意,这个时候需要先去index1和index2上创建我们定义的index和sourcetype
创建很简单,打开相应的页面,选择设置-索引或者设置-来源类型
创建完成后回到3上重启UF来使前面的inputs.conf文件生效
systemctl restart splunk

3.4.测试

一切准备就绪,现在访问search,进行搜索 index=linuxsyslog 出现下面的信息表示我们配置成功
0518

3.5.备注

本文中指定了两个索引器,Splunk会自动的为转发的数据进行负载,不需要进行特别的配置