本文基於Splunk Forwarder自動收集Windows日誌，將日誌傳送到Splunk做統一收集，並建立簡單的圖示分析，實時監控Windows系統日誌。

Splunk系統安裝

Splunk官方提供60天，500M的免費試用期，本文基於官方的免費Docker映象搭建實驗環境，安裝過程非常簡答，這裡不再贅述，可以參考Splunk Docker文件相關內容搭建簡單的Splunk環境。

安裝Splunk Forwarder配置

訪問Splunk官網下載Windows版本的Forward，如下圖所示：

1. 下載完成後雙擊安裝程式開始安裝，如下圖：

   
   
   

   image.png

2. 選擇安裝目錄，然後下一步：

   
   
   

   image.png

3. 這一步可以選擇Forwarder與Splunk採用加密的通訊方式，這裡使用預設的祕鑰，然後下一步：

   
   
   

   image.png

4. 這一步選擇讓Splunk監控的Event Log型別，還可以選擇具體監控某個檔案，事實上Splunk在Windows能監控的點遠不止這個介面上羅列的內容，這裡只是將一些常用的選項列舉出來，通過修改Forwarder的配置檔案可以監控到更多選項，比如我們配置轉發的源端、目的端在$SplunkHome\SplunkUniversalForwarder\etc\system\local，更多監控配置例項在$SplunkHome\SplunkUniversalForwarder\etc\system\README。

   
   
   

   image.png

5. Splunk可以對所有的Forwarder做集中管理，試想一下，如果你有上千個日誌採集器Forwarder部署，如果每臺機器單獨運維，那麼效率一定不高。這一步配置一個集中管理Forwarder的節點，預設埠是8089，比如我的伺服器部署在122.112.204.170，那麼具體填寫如下：

   
   
   

   image.png

6. 下一步配置Forwarder將採集到的日誌往哪個IP埠傳送，也即日誌的目的端：

   
   
   

   image.png
7. 接下來點選“Install”完成安裝

Splunk配置日誌接收

配置好Forwarder日誌採集客戶端，還需要在Splunk上配置接收端，登入Splunk主介面，點選右上角“設定”選單->“轉發和接收”->“配置接收”

點選“新增”，設定接收埠為9997（與前面步驟Forwarder傳送埠一致），點選“儲存”如下圖：

Splunk檢視日誌

接下來，我們到“Search&Reporting”的搜尋介面查詢Windows上收集上來的事件日誌：

簡單配置一下Dashboard效果如下：