Linux環境安裝Splunk Enterprise服務端和Windows客戶端Splunk Universal Forwarder

Ubuntu 22.04 安裝Splunk Enterprise服務端

• 這裡採用安裝Splunk Enterprise 8.2.5版本

• 下載安裝包
  wget -O splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb https://download.splunk.com/products/splunk/releases/8.2.5/linux/splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

• 執行安裝
  sudo dpkg -i splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb

• 正常情況下是沒有報錯直接安裝成功，然後查詢安裝成功的路徑，並執行splunk，根據嚮導配置登入splunk的使用者名稱和密碼，成功之後並啟動服務。
  

• 上述執行都沒有問題的話，會在本地偵聽8000埠，然後訪問該主機的IP和8000埠即可正常訪問Splunk服務端了。
  
  

配置服務端轉發和接收資料

• 這裡配置的預設埠是9997
• 之所以這裡要配置是為了下面安裝Windows Splunk Universal Forwarder做準備。
  
  
  
  

Windows 安裝Splunk客戶端（Splunk Universal Forwarder）並配置這個通用轉發器

• 下載客戶端連結地址

• https://download.splunk.com/products/universalforwarder/releases/8.2.5/windows/splunkforwarder-8.2.5-77015bc7a462-x64-release.msi

• 參考下載地址

• https://gist.github.com/devops-school/3247238bfdf8a4cbaf6039a1a38ba516

• 開始安裝
  

• 設定賬戶和密碼，這裡設定的賬戶和密碼不需要跟服務端一樣，可自定義設定。
  
  賬戶：admints 密碼：admin@998 上述只是測試使用的賬戶密碼

• 繼續下一步，這裡輸入剛才上面部署好的Splunk Enterprise服務端，測試環境對應的IP地址是10.10.16.120
  

• 繼續下一步就是配置接收服務端的IP和埠。
  

• 點選下一步，然後開始安裝。
  

• 完成安裝。
  

新增Windows事件日誌

• 如果上述配置操作都沒有問題的話，那麼此時在服務端設定-轉發管理器的位置就會發現剛才配置的Windows客戶端轉發器已經上線了。
  
  

• 設定-資料輸入，找到Windows事件日誌選項點選新增操作。
  
  
  

• 選中WINDOWS，並配置名稱。
  

• 選擇事件來源日誌
  

• 我這裡就只選應用和安全相關的日誌了，大家可根據實際情況選擇。
  

• 建立索引或者使用預設索引，我這裡是建立一個新的索引。
  
  

• 確認是否都操作正確，點選Review一下。
  

• 沒問題然後就提交即可。
  

• 正常情況下都沒有問題，點選Start Searching就可以開始搜尋Windows相關日誌。