什么是Splunk?
Splunk是一个功能强大的日志管理工具,它不仅可以用多种方式来添加日志,生产图形化报表,最厉害的是它的搜索功能 - 被称为“Google for IT”。Splunk有免费和收费版,最主要的差别在于每天的索引容量大小(索引是搜索功能的基础),免费版每天最大为500M。在使用免费版时,如果在30天之内,有7天的索引数据量超过500M,那么就不可以在搜索了(真是可惜啊!)。根据你的需要,你可以选择购买每天的索引容量大小。
如何安装Splunk?
Splunk支持多种操作系统,但如果要通过WMI的方式来搜集Windows的日志的话,那么Splunk必须装在Windows操作系统上。我这里用的是Windows 2003 Standard服务器,具体的安装步骤很简单,根据向导一步步的进行就好。
如何配置Splunk?
      如前面提到过的,Splunk可以通过多种方式来收集日志,主要包括监听syslog消息,访问WMI,监控日志文件,FIFO队列。我这里以几个典型配置为例:
1)通过syslog来收集Cisco网络设备的日志
在Cisco网络设备上的配置命令一般为:
logging <syslog server IP Address>
logging trap <severity>
Splunk默认使用UDP 514端口来监听syslog消息。
如:
logging 172.29.1.1
logging trap warning
2)通过syslog来收集Linux主机的日志
在Linux主机上的配置一般为:
修改/etc/syslog.conf配置,添加以下两行:
# Send syslog to Splunk server
*.<severity>                 @<syslog server IP Address>
如:
# Send syslog to Splunk server
*.debug                @172.29.1.1
3)通过WMI来收集Windows主机的日志
  • 首先要确保运行Splunk服务(在服务管理器中显示为Splunkd)的帐号有权限就去读取远程Windows机器的WMI信息。
  • 然后就是要在Splunk服务器上做一下简单的配置:Splunk的安装路径默认为C:\Program Files\Splunk。在C:\Program Files\Splunk\etc\system\local文件下修改inputs.conf文件,添加以下内容:
    • [script://$SPLUNK_HOME\bin\scripts\splunk-wmi.py]
      interval = 10
      source = wmi
      sourcetype = wmi
      disabled = 0
  • 接着在同一目录中新建一个文本文件,命名为wmi.conf,并添加以下内容:
    [WMI:<Name>]       
    server = <Remote Windows Host IP Address>
    interval = 60
    event_log_file = <Event log Type>
    disabled = 0
    比如监控IP地址为172.29.1.30的Windows主机上Application和System的Event Log:
    [WMI:AppAndSys]       
    server = 172.29.1.30
    interval = 60
    event_log_file = Application, System
    disabled = 0
其实还可以通过Syslog来收集Windows的日志,这里可以用一个免费工具-NTSyslog。(Syslog化Windows Event日志一文中有详细说明)
如何使用Splunk?
Splunk采用B/S模式,默认端口为8000。如访问本文中的Splunk服务器,只需要在浏览器中输入[url]http://172.29.1.1:8000[/url]。免费版的是不需要用户认证便可登录的,30天试用企业版的是需要认证的,登录帐号是:用户为admin,密码为changeme。登录后可以清楚的看到在过去的一小时内出现的日志报错情况。点击任何一个时间点,Splunk会打开相应的详细日志。这对我们监控整个企业IT系统以及分析问题都提供了极大的帮助。
那么Google for IT是怎么体现的呢?Splunk提供一套关键字搜索的规则,利用这套规则可以进行非常精确的搜索。比如我想查看关于用户Jackie Chen和Michael Jordan在过去24小时内的所有相关日志的话,就可以在搜索处输入如下关键字。
Splunk还允许用户保留自己的搜索规则,这样就不用每次搜索同一内容都输入一遍关键字了。利用这一点,我分别为所有的网络设备,Windows主机和Linux主机建立的相应的搜索,并保存在一个新建的Dashboard中,这样我每天只要打开这个Dashboard就可以清楚的了解所有设备的日志情况。
Splunk的用途很广泛,我上面提到的只是一点小小的应用。大家可以去[url]www.splunk.com[/url]找到更多的信息。

转载于:https://blog.51cto.com/jackiechen/150222

超级日志服务器-Splunk相关推荐

  1. Splunk—云计算大数据时代的超级日志分析和监控利器

          信息科技的不断进步,一方面使得银行业信息和数据逻辑集中程度不断得到提高,另一方面又成为银行业稳健运行的一大安全隐患.Splunk作为智能的IT管理运维平台,能够帮助银行业积极迎接.应对和解 ...

  2. graylog2+syslog-ng+mongodb构建集中管理日志服务器 --转载

    原文地址:http://blog.chinaunix.net/uid-11065483-id-3654882.html 由于公司内需要监控QQ的上下线记录,原本使用了分光+Panabit+Splunk ...

  3. Linux日志选项详解及日志服务器的实现

    Linux日志服务器的实现   一:基本概念 1: 软件包 syslogd 2: /etc/syslog.conf 配置文件 格式:facility.level action (设备. 优先级动作) ...

  4. 华为日志服务器文档,免费日志服务器

    免费日志服务器 内容精选 换一换 主机和云服务的日志数据,不方便查阅并且会定期清空.云日志服务采集日志后,日志数据可以在云日志控制台以简单有序的方式展示.方便快捷的方式进行查询,并且可以长期存储.对采 ...

  5. 华为 日志服务器 配置文件,配置日志服务器

    配置日志服务器 内容精选 换一换 您可以通过云日志服务,查看访问七层共享型负载均衡请求的详细日志记录,分析负载均衡的响应状态码,快速定位异常的后端服务器.您已经创建了七层负载均衡.您已经开通了云日志服 ...

  6. nginx日志通过rsyslog传入到日志服务器指定目录

    V5配置语法: 推送端设置 [root@nginx01 ~]# cat /etc/rsyslog.conf # rsyslog v5 configuration file # For more inf ...

  7. Windows使用免费版Kiwisyslog搭建日志服务器

    说明:Kiwisyslog 9.5.1 免费版 因为项目需要,使用Windows作为日志服务器,因为特殊原因未使用Linux来做. 因为使用的是免费版本,所有是有来源限制,最多5个. 安装完成之后,会 ...

  8. Ubuntu 16.04下部署Graylog日志服务器

    Graylog 是一个开源的日志管理系统,集中式收集.索引.分析其它服务器发来的日志.它是由 Java 语言编写的,能够接收 TCP.UDP.AMQP 协议发送的日志信息,并且使用 Mongodb 做 ...

  9. Centos下用lamp搭建日志服务器

    用lamp搭建日志服务器 第一部分:简要介绍 1.作为网络的维护者,日志是我们工作中必不可少的一部分,他可以帮助我们分析设备是否正常,网络是否健康,所以任何设备或系统都应该建立完整的日志系统,这样我们 ...

最新文章

  1. Jquery绑定事件(bind和live的区别)[转]
  2. EntityFramework Core 2.0执行原始查询如何防止SQL注入?
  3. 前端学习(757):预解析
  4. 中国数字血压计市场趋势报告、技术动态创新及市场预测
  5. LOJ2542 PKUWC2018随机游走(概率期望+容斥原理)
  6. Java进阶篇设计模式之三 ----- 建造者模式和原型模式
  7. 卧槽!jmeter 竟然这么牛逼,压测爽歪歪~
  8. python算法详解豆瓣_豆瓣评分9.0以上的编程书,了解一下?
  9. 移动iptv安装三方软件
  10. 关于程序员的面试于自我介绍模板
  11. ARM920T的MMU与Cache ——转载
  12. aho-corasick automaton (AC自动机)的理解
  13. 数据结构与算法学习资源
  14. Oracle EBS Workflow简介和客制之后的感想
  15. 远程桌面客户端 RDP
  16. 关于Window10系统无法打开Microsoft Store(应用商店)解决方案
  17. Mysql到DM8使用DTS工具进行迁移
  18. EXCEl 时间戳转换为日期格式
  19. 创业服务资源获取的途径有哪些?
  20. 1094 谷歌的招聘(JAVA)

热门文章

  1. 2017年------阿里大神带你详解Dubbo架构设计
  2. mySQL教程 第5章 插入 更新与删除数据
  3. mac linux netstat -n
  4. 电脑 你离我有多远!
  5. Healing Psoriasis The Natural Alternative-序言(未完待续)
  6. AppendStream和RetractStream(没有弄完)
  7. [ERROR] bower xxx解决方案
  8. Django CMS介绍(转载)
  9. kaggle中安装lightgbm的gpu版本
  10. 把windows键盘作为xfce环境中的打开Applications