- cài trên logs.thudv.com - ip: 192.168.22.2
- login
vào splunk = web: admin/chip@102
- Để
download splunk bản mới nhất cần đăng ký account tại trang splunk.com
-Các cách cài đặt:
Cách 1: đơn giản nhất. Tất cả cài đặt Splunk Agent và cấu
hình forwarding về Splunk Server làm NSM. Search, Report trên Splunk Server.
Các thiết bị không thể cài đặt Splunk thì hoặc cấu hình gửi log trực tiếp về
Splunk; hoặc cấu hình chuyển log về Syslog-NG server, sau đó Syslog-NG tiếp tục
cấu hình gửi log về Splunk.
Cách thứ 2: không cài đặt, ko sử dụng Splunk làm Agent. Sử dụng Syslogd hoặc Rsyslog; cài Syslog Agent trên các server Windows. Tất cả được cấu hình tập trung log về Syslog-NG server. Từ Syslog-ng server, tiếp tục cấu hình gửi log về Splunk. Do đó chỉ cần cài Splunk trên NSM Server là đủ.
Cách thứ 3 đó là sử dụng bộ 3 phần mềm ElasticSearch, LogStash và Kibana (http://www.elasticsearch.org/overview/). Tất cả đều là phần mềm nguồn mở nên bạn ko phải lo lắng về chi phí. Tuy nhiên cách này tôi chưa thử bao giờ nên ko thể so sánh ưu khuyết với 2 cách kia.
Cách thứ 2: không cài đặt, ko sử dụng Splunk làm Agent. Sử dụng Syslogd hoặc Rsyslog; cài Syslog Agent trên các server Windows. Tất cả được cấu hình tập trung log về Syslog-NG server. Từ Syslog-ng server, tiếp tục cấu hình gửi log về Splunk. Do đó chỉ cần cài Splunk trên NSM Server là đủ.
Cách thứ 3 đó là sử dụng bộ 3 phần mềm ElasticSearch, LogStash và Kibana (http://www.elasticsearch.org/overview/). Tất cả đều là phần mềm nguồn mở nên bạn ko phải lo lắng về chi phí. Tuy nhiên cách này tôi chưa thử bao giờ nên ko thể so sánh ưu khuyết với 2 cách kia.
- Bản cài hiện tại là splunk-6.3.2-aaff59bb082c-Linux-x86_64.tgz
# tar xvzf splunk-6.3.2-aaff59bb082c-Linux-x86_64.tgz
- Start splunk
#cd /splunk/bin
# ./splunk start (or
stop; restart)
hoặc
#/tmp/splunk/bin/splunk stop (start,restart)
- Để clean eventdata
#/tmp/splunk/bin/splunk
clean eventdata (có thể thêm từng
data: /tmp/splunk/bin/splunk clean
eventdata -index myindex -f)
- license: chọn y
- Cài đặt thành công
- trên client có thể truy cập http://hostname:8000 (hoặc ip)
để sử dụng splunk
-Cấu hình trên client
đẩy log về logs server
#vi /etc/rsyslog.conf
==>cấu hình ip của splunk và port listen
- Restart rsyslog.
#service rsyslog
restart
- Cấu hình trên
server splunk để lấy logs
-Mở iptables trên splunk server
-A
INPUT -m state --state NEW -m tcp -p tcp --dport 8000 -j ACCEPT (cho phép client login vào web splunk)
-A
INPUT -m state --state NEW -m tcp -p tcp --dport 8089 -j ACCEPT
-A
INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT (lắng nghe rsyslog client đẩy về)
Trên menu click vào
setting chọn Data input.
Trong Local inputs: chọn TCP
Chọn New
tiếp tục Next: chọn syslog trong source type và ip trong
Host
Tiếp tục chọn Next
Kết thúc submit
- Tiếp tục chọn start Searching
-Lúc này sẽ thấy mấy agent Centos
*** cài trên Windows agent:
splunkforwarder-6.3.2-aaff59bb082c-x64-release.msi
(chú ý khi cài đặt chỉ cần điền ip receive: chỗ port 9997)
No comments:
Post a Comment