+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Splunk (https://monitoringserwerow.pl/forumdisplay.php?fid=15)
+--- Thread: Splunk Universal Forwarder - Windows (/showthread.php?tid=18)
Splunk Universal Forwarder - Windows - ArturB - 07-30-2019
W jednym z poprzednim ze swoich wpisów wspomniałem o możliwości dodania do Splunk Enterprise stacji windowsowych. W dzisiejszym poście postaram się przybliżyć ten temat.
Aby Splunk mógł przyjmować logi Windowsa należy go właściwie skonfigurować. W tym celu wchodzimy w Settings i wybieramy opcję Forwarding and Receiving :
![[Image: s51.png]](http://it.emca.pl/images/stories/2013/splunk/s51.png)
Następnie w zakładce Configure receiving wybieramy new i wpisujemy port, na który chcemy otrzymywać dane.
![[Image: s52.png]](http://it.emca.pl/images/stories/2013/splunk/s52.png)
To w zasadzie cała konfiguracja jeżeli chodzi o Splunka.
Kolejnym krokiem jest zainstalowanie agenta na stacji z systemem operacyjnym Windows.
Przechodzimy na stronę:
http://www.splunk.com/download/universalforwarder
i wybieramy właściwy dla nas forwarder.
Instalacja odbywa się z wykorzystaniem wizarda i teoretycznie nie powinna sprawiać żadnych trudności. Ale jak to w życiu, teoria sobie, a praktyka sobie.
Okazuje się, że to co wydaje się być intuicyjne, wcale takim nie jest. Po przejściu kilku okienek dochodzimy do Specify a Deployment Server. Nie powinniśmy tam nic wpisywać. Dopiero w następnym oknie Specify Receiving Indexer wpisujemy port skonfigurowany wcześniej na Splunku, oraz adres maszyny na której zainstalowany jest nasz serwer logów.
![[Image: s54.png]](http://it.emca.pl/images/stories/2013/splunk/s54.png)
Następne okienko zostawiamy bez zmian. Największym zaskoczeniem jest fakt, że w okienku Enable Windows Inputs nie zaznaczamy żadnych opcji! Moim zdaniem jest absolutnie niezgodne z intuicją i osoby instalujące universal forwarder bez instrukcji najczęściej zaznaczają wszystkie opcje.
![[Image: s55.png]](http://it.emca.pl/images/stories/2013/splunk/s55.png)
Reszta przebiega bez zaskoczenia. Po instalacji uniwersalnego forwardera należy edytować plik inputs.conf znajdujący się w lokalizacji $SPLUNK_HOME/etc/system/local, w moim przypadku plik ten znajduje się w katalogu:
C:\Program Files\SplunkUniversalForwarder\etc\system\local
Przykładowa konfiguracja pliku powinna wyglądać mniej więcej tak:
KOD: ZAZNACZ CAŁY
Code:
[default]
host = nazwa_hosta
[WinEventLog://Application]
disabled = 0
[WinEventLog://ForwardedEvents]
disabled = 0
[WinEventLog://HardwareEvents]
disabled = 0
[WinEventLog://Internet Explorer]
disabled = 0
[WinEventLog://Security]
disabled = 0
[WinEventLog://Setup]
disabled = 0
[WinEventLog://System]
disabled = 0Ustawiając disabled na 0 sprawiamy, że usługa wysyła dane do naszego Splunka.
Na obecnym etapie powinniśmy otrzymywać logi z Windowsa prosto na nasz serwer logów.
![[Image: s53.png]](http://it.emca.pl/images/stories/2013/splunk/s53.png)