Linux環境安裝Splunk Enterprise服務端和Windows客戶端Splunk Universal Forwarder

皇帽讲绿帽带法技巧發表於2024-11-12

Ubuntu 22.04 安裝Splunk Enterprise服務端

  • 這裡採用安裝Splunk Enterprise 8.2.5版本

  • 下載安裝包
    wget -O splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb https://download.splunk.com/products/splunk/releases/8.2.5/linux/splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

  • 執行安裝
    sudo dpkg -i splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

  • 正常情況下是沒有報錯直接安裝成功,然後查詢安裝成功的路徑,並執行splunk,根據嚮導配置登入splunk的使用者名稱和密碼,成功之後並啟動服務。
    image

  • 上述執行都沒有問題的話,會在本地偵聽8000埠,然後訪問該主機的IP和8000埠即可正常訪問Splunk服務端了。
    image
    image

配置服務端轉發和接收資料

  • 這裡配置的預設埠是9997
  • 之所以這裡要配置是為了下面安裝Windows Splunk Universal Forwarder做準備。
    image
    image
    image
    image

Windows 安裝Splunk客戶端(Splunk Universal Forwarder)並配置這個通用轉發器

  • 下載客戶端連結地址

  • https://download.splunk.com/products/universalforwarder/releases/8.2.5/windows/splunkforwarder-8.2.5-77015bc7a462-x64-release.msi

  • 參考下載地址

  • https://gist.github.com/devops-school/3247238bfdf8a4cbaf6039a1a38ba516

  • 開始安裝
    image

  • 設定賬戶和密碼,這裡設定的賬戶和密碼不需要跟服務端一樣,可自定義設定。
    image
    賬戶:admints 密碼:admin@998 上述只是測試使用的賬戶密碼

  • 繼續下一步,這裡輸入剛才上面部署好的Splunk Enterprise服務端,測試環境對應的IP地址是10.10.16.120
    image

  • 繼續下一步就是配置接收服務端的IP和埠。
    image

  • 點選下一步,然後開始安裝。
    image

  • 完成安裝。
    image

新增Windows事件日誌

  • 如果上述配置操作都沒有問題的話,那麼此時在服務端設定-轉發管理器的位置就會發現剛才配置的Windows客戶端轉發器已經上線了。
    image
    image

  • 設定-資料輸入,找到Windows事件日誌選項點選新增操作。
    image
    image
    image

  • 選中WINDOWS,並配置名稱。
    image

  • 選擇事件來源日誌
    image

  • 我這裡就只選應用和安全相關的日誌了,大家可根據實際情況選擇。
    image

  • 建立索引或者使用預設索引,我這裡是建立一個新的索引。
    image
    image

  • 確認是否都操作正確,點選Review一下。
    image

  • 沒問題然後就提交即可。
    image

  • 正常情況下都沒有問題,點選Start Searching就可以開始搜尋Windows相關日誌。
    image

相關文章