Ubuntu 22.04 安裝Splunk Enterprise服務端
-
這裡採用安裝Splunk Enterprise 8.2.5版本
-
下載安裝包
wget -O splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb https://download.splunk.com/products/splunk/releases/8.2.5/linux/splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb
-
執行安裝
sudo dpkg -i splunk-8.2.5-77015bc7a462-linux-2.6-amd64.deb
-
正常情況下是沒有報錯直接安裝成功,然後查詢安裝成功的路徑,並執行splunk,根據嚮導配置登入splunk的使用者名稱和密碼,成功之後並啟動服務。
-
上述執行都沒有問題的話,會在本地偵聽8000埠,然後訪問該主機的IP和8000埠即可正常訪問Splunk服務端了。
配置服務端轉發和接收資料
- 這裡配置的預設埠是9997
- 之所以這裡要配置是為了下面安裝Windows Splunk Universal Forwarder做準備。
Windows 安裝Splunk客戶端(Splunk Universal Forwarder)並配置這個通用轉發器
-
下載客戶端連結地址
-
https://download.splunk.com/products/universalforwarder/releases/8.2.5/windows/splunkforwarder-8.2.5-77015bc7a462-x64-release.msi
-
參考下載地址
-
https://gist.github.com/devops-school/3247238bfdf8a4cbaf6039a1a38ba516
-
開始安裝
-
設定賬戶和密碼,這裡設定的賬戶和密碼不需要跟服務端一樣,可自定義設定。
賬戶:admints 密碼:admin@998 上述只是測試使用的賬戶密碼
-
繼續下一步,這裡輸入剛才上面部署好的Splunk Enterprise服務端,測試環境對應的IP地址是10.10.16.120
-
繼續下一步就是配置接收服務端的IP和埠。
-
點選下一步,然後開始安裝。
-
完成安裝。
新增Windows事件日誌
-
如果上述配置操作都沒有問題的話,那麼此時在服務端設定-轉發管理器的位置就會發現剛才配置的Windows客戶端轉發器已經上線了。
-
設定-資料輸入,找到Windows事件日誌選項點選新增操作。
-
選中WINDOWS,並配置名稱。
-
選擇事件來源日誌
-
我這裡就只選應用和安全相關的日誌了,大家可根據實際情況選擇。
-
建立索引或者使用預設索引,我這裡是建立一個新的索引。
-
確認是否都操作正確,點選Review一下。
-
沒問題然後就提交即可。
-
正常情況下都沒有問題,點選Start Searching就可以開始搜尋Windows相關日誌。