W jednym z poprzednim ze swoich wpisów wspomniałem o możliwości dodania do Splunk Enterprise stacji windowsowych. W dzisiejszym poście postaram się przybliżyć ten temat.
Aby Splunk mógł przyjmować logi Windowsa należy go właściwie skonfigurować. W tym celu wchodzimy w Settings i wybieramy opcję Forwarding and Receiving :
![[Image: s51.png]](http://it.emca.pl/images/stories/2013/splunk/s51.png)
Następnie w zakładce Configure receiving wybieramy new i wpisujemy port, na który chcemy otrzymywać dane.
![[Image: s52.png]](http://it.emca.pl/images/stories/2013/splunk/s52.png)
To w zasadzie cała konfiguracja jeżeli chodzi o Splunka.
Kolejnym krokiem jest zainstalowanie agenta na stacji z systemem operacyjnym Windows.
Przechodzimy na stronę:
http://www.splunk.com/download/universalforwarder
i wybieramy właściwy dla nas forwarder.
Instalacja odbywa się z wykorzystaniem wizarda i teoretycznie nie powinna sprawiać żadnych trudności. Ale jak to w życiu, teoria sobie, a praktyka sobie.
Okazuje się, że to co wydaje się być intuicyjne, wcale takim nie jest. Po przejściu kilku okienek dochodzimy do Specify a Deployment Server. Nie powinniśmy tam nic wpisywać. Dopiero w następnym oknie Specify Receiving Indexer wpisujemy port skonfigurowany wcześniej na Splunku, oraz adres maszyny na której zainstalowany jest nasz serwer logów.
![[Image: s54.png]](http://it.emca.pl/images/stories/2013/splunk/s54.png)
Następne okienko zostawiamy bez zmian. Największym zaskoczeniem jest fakt, że w okienku Enable Windows Inputs nie zaznaczamy żadnych opcji! Moim zdaniem jest absolutnie niezgodne z intuicją i osoby instalujące universal forwarder bez instrukcji najczęściej zaznaczają wszystkie opcje.
![[Image: s55.png]](http://it.emca.pl/images/stories/2013/splunk/s55.png)
Reszta przebiega bez zaskoczenia. Po instalacji uniwersalnego forwardera należy edytować plik inputs.conf znajdujący się w lokalizacji $SPLUNK_HOME/etc/system/local, w moim przypadku plik ten znajduje się w katalogu:
C:\Program Files\SplunkUniversalForwarder\etc\system\local
Przykładowa konfiguracja pliku powinna wyglądać mniej więcej tak:
Ustawiając disabled na 0 sprawiamy, że usługa wysyła dane do naszego Splunka.
Na obecnym etapie powinniśmy otrzymywać logi z Windowsa prosto na nasz serwer logów.
![[Image: s53.png]](http://it.emca.pl/images/stories/2013/splunk/s53.png)
Aby Splunk mógł przyjmować logi Windowsa należy go właściwie skonfigurować. W tym celu wchodzimy w Settings i wybieramy opcję Forwarding and Receiving :
Następnie w zakładce Configure receiving wybieramy new i wpisujemy port, na który chcemy otrzymywać dane.
To w zasadzie cała konfiguracja jeżeli chodzi o Splunka.
Kolejnym krokiem jest zainstalowanie agenta na stacji z systemem operacyjnym Windows.
Przechodzimy na stronę:
http://www.splunk.com/download/universalforwarder
i wybieramy właściwy dla nas forwarder.
Instalacja odbywa się z wykorzystaniem wizarda i teoretycznie nie powinna sprawiać żadnych trudności. Ale jak to w życiu, teoria sobie, a praktyka sobie.
Okazuje się, że to co wydaje się być intuicyjne, wcale takim nie jest. Po przejściu kilku okienek dochodzimy do Specify a Deployment Server. Nie powinniśmy tam nic wpisywać. Dopiero w następnym oknie Specify Receiving Indexer wpisujemy port skonfigurowany wcześniej na Splunku, oraz adres maszyny na której zainstalowany jest nasz serwer logów.
Następne okienko zostawiamy bez zmian. Największym zaskoczeniem jest fakt, że w okienku Enable Windows Inputs nie zaznaczamy żadnych opcji! Moim zdaniem jest absolutnie niezgodne z intuicją i osoby instalujące universal forwarder bez instrukcji najczęściej zaznaczają wszystkie opcje.
Reszta przebiega bez zaskoczenia. Po instalacji uniwersalnego forwardera należy edytować plik inputs.conf znajdujący się w lokalizacji $SPLUNK_HOME/etc/system/local, w moim przypadku plik ten znajduje się w katalogu:
C:\Program Files\SplunkUniversalForwarder\etc\system\local
Przykładowa konfiguracja pliku powinna wyglądać mniej więcej tak:
KOD: ZAZNACZ CAŁY
Code:
[default]
host = nazwa_hosta
[WinEventLog://Application]
disabled = 0
[WinEventLog://ForwardedEvents]
disabled = 0
[WinEventLog://HardwareEvents]
disabled = 0
[WinEventLog://Internet Explorer]
disabled = 0
[WinEventLog://Security]
disabled = 0
[WinEventLog://Setup]
disabled = 0
[WinEventLog://System]
disabled = 0Ustawiając disabled na 0 sprawiamy, że usługa wysyła dane do naszego Splunka.
Na obecnym etapie powinniśmy otrzymywać logi z Windowsa prosto na nasz serwer logów.
