Aby umożliwić przesyłanie logów do Splunka z systemów *nixowych wystarczy skonfigurować syslog, aby przesyłał logi na określony adres. Co jednak zrobić, gdy chcemy przesyłać inne pliki do swojego idealnego systemu logów? Odpowiedzią jest Universal Forwarder Splunka.
Instalacja agenta odbywa się standardowo, to znaczy ściągamy paczkę na właściwy system i architekturę ze strony
http://www.splunk.com/download/universalforwarder
transportujemy na serwer, który chcemy monitorować i instalujemy. Po uruchomieniu deamona wydajemy komendę , aby forwarder był uruchamiany przy starcie systemu:
Kolejnym krokiem jest zalogowanie się do universal forwardera oraz zmiana hasła. Następnie wykonujemy restart:
Przydałoby się poinstruować agenta na który serwer i port ma przesyłać logi:
Warto zweryfikować, czy na liście serwerów znalazła się dodana przed chwilą maszyna:
Jedyne co nam pozostało to dodanie plików, które chcemy przesyłać do Splunka:
W powyższym przykładzie dodaję cały folder /etc/ do Splunka z tagiem etcfolder, dzięki czemu będę miał możliwość porównania zawartości plików w czasie.
Istnieje również możliwość jednorazowego wysłania plików do naszego centralnego serwera logów:
Oczywiście jeżeli nie lubimy konfiguracji z linii poleceń możemy edytować plik inputs.conf znajdujący się w lokalizacji:
Zawsze warto sprawdzić, czy pliki zostały dodane. W tym celu wykonujemy polecenie:
Splunk jak widać jest bardzo elastyczny i przyjmuje wiele rodzajów plików. Instalacja i konfiguracja universal forwardera pod systemami *nix jest prosta, łatwa i przyjemna, a więc i troubleshooting nie będzie sprawiał większych problemów.
Instalacja agenta odbywa się standardowo, to znaczy ściągamy paczkę na właściwy system i architekturę ze strony
http://www.splunk.com/download/universalforwarder
transportujemy na serwer, który chcemy monitorować i instalujemy. Po uruchomieniu deamona wydajemy komendę , aby forwarder był uruchamiany przy starcie systemu:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk start
/opt/splunkforwarder/bin/splunk enable boot-startKolejnym krokiem jest zalogowanie się do universal forwardera oraz zmiana hasła. Następnie wykonujemy restart:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk restartPrzydałoby się poinstruować agenta na który serwer i port ma przesyłać logi:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk add forward-server 192.168.4.1:9997Warto zweryfikować, czy na liście serwerów znalazła się dodana przed chwilą maszyna:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk list forward-server
Active forwards:
192.168.4.1:9997Jedyne co nam pozostało to dodanie plików, które chcemy przesyłać do Splunka:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk add monitor /etc/ -index main -sourcetype etcfolderW powyższym przykładzie dodaję cały folder /etc/ do Splunka z tagiem etcfolder, dzięki czemu będę miał możliwość porównania zawartości plików w czasie.
Istnieje również możliwość jednorazowego wysłania plików do naszego centralnego serwera logów:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk add oneshot /var/log/applogOczywiście jeżeli nie lubimy konfiguracji z linii poleceń możemy edytować plik inputs.conf znajdujący się w lokalizacji:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/etc/apps/search/local/Zawsze warto sprawdzić, czy pliki zostały dodane. W tym celu wykonujemy polecenie:
KOD: ZAZNACZ CAŁY
Code:
/opt/splunkforwarder/bin/splunk list monitor
Monitored Directories:
$SPLUNK_HOME/var/log/splunk/splunkd.log
/opt/splunkforwarder/var/log/splunk/audit.log
/opt/splunkforwarder/var/log/splunk/btool.log
/opt/splunkforwarder/var/log/splunk/first_install.log
/opt/splunkforwarder/var/log/splunk/license_audit.log
/opt/splunkforwarder/var/log/splunk/license_usage.log
/opt/splunkforwarder/var/log/splunk/metrics.log
/opt/splunkforwarder/var/log/splunk/metrics.log.1
/opt/splunkforwarder/var/log/splunk/metrics.log.2
/opt/splunkforwarder/var/log/splunk/metrics.log.3
/opt/splunkforwarder/var/log/splunk/metrics.log.4
/opt/splunkforwarder/var/log/splunk/metrics.log.5
/opt/splunkforwarder/var/log/splunk/remote_searches.log
/opt/splunkforwarder/var/log/splunk/scheduler.log
/opt/splunkforwarder/var/log/splunk/searchhistory.log
/opt/splunkforwarder/var/log/splunk/splunkd-utility.log
/opt/splunkforwarder/var/log/splunk/splunkd.log
/opt/splunkforwarder/var/log/splunk/splunkd_access.log
/opt/splunkforwarder/var/log/splunk/splunkd_stderr.log
/opt/splunkforwarder/var/log/splunk/splunkd_stdout.log
$SPLUNK_HOME/var/spool/splunk/...stash_new
/etc/
Monitored Files:
$SPLUNK_HOME/etc/splunk.versionSplunk jak widać jest bardzo elastyczny i przyjmuje wiele rodzajów plików. Instalacja i konfiguracja universal forwardera pod systemami *nix jest prosta, łatwa i przyjemna, a więc i troubleshooting nie będzie sprawiał większych problemów.
