超级日志服务器-Splunk
生活随笔
收集整理的這篇文章主要介紹了
超级日志服务器-Splunk
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
什么是Splunk? Splunk是一個功能強大的日志管理工具,它不僅可以用多種方式來添加日志,生產圖形化報表,最厲害的是它的搜索功能 - 被稱為“Google for IT”。Splunk有免費和收費版,最主要的差別在于每天的索引容量大小(索引是搜索功能的基礎),免費版每天最大為500M。在使用免費版時,如果在30天之內,有7天的索引數據量超過500M,那么就不可以在搜索了(真是可惜啊!)。根據你的需要,你可以選擇購買每天的索引容量大小。
如何安裝Splunk? Splunk支持多種操作系統,但如果要通過WMI的方式來搜集Windows的日志的話,那么Splunk必須裝在Windows操作系統上。我這里用的是Windows 2003 Standard服務器,具體的安裝步驟很簡單,根據向導一步步的進行就好。
如何配置Splunk? ????? 如前面提到過的,Splunk可以通過多種方式來收集日志,主要包括監聽syslog消息,訪問WMI,監控日志文件,FIFO隊列。我這里以幾個典型配置為例: 1)通過syslog來收集Cisco網絡設備的日志 在Cisco網絡設備上的配置命令一般為: logging <syslog server IP Address> logging trap <severity> Splunk默認使用UDP 514端口來監聽syslog消息。 如: logging 172.29.1.1 logging trap warning 2)通過syslog來收集Linux主機的日志 在Linux主機上的配置一般為: 修改/etc/syslog.conf配置,添加以下兩行: # Send syslog to Splunk server
*.<severity>???????????????? @<syslog server IP Address> 如: # Send syslog to Splunk server
*.debug??????????????? @172.29.1.1 3)通過WMI來收集Windows主機的日志
如何使用Splunk? Splunk采用B/S模式,默認端口為8000。如訪問本文中的Splunk服務器,只需要在瀏覽器中輸入[url]http://172.29.1.1:8000[/url]。免費版的是不需要用戶認證便可登錄的,30天試用企業版的是需要認證的,登錄帳號是:用戶為admin,密碼為changeme。登錄后可以清楚的看到在過去的一小時內出現的日志報錯情況。點擊任何一個時間點,Splunk會打開相應的詳細日志。這對我們監控整個企業IT系統以及分析問題都提供了極大的幫助。 那么Google for IT是怎么體現的呢?Splunk提供一套關鍵字搜索的規則,利用這套規則可以進行非常精確的搜索。比如我想查看關于用戶Jackie Chen和Michael Jordan在過去24小時內的所有相關日志的話,就可以在搜索處輸入如下關鍵字。 Splunk還允許用戶保留自己的搜索規則,這樣就不用每次搜索同一內容都輸入一遍關鍵字了。利用這一點,我分別為所有的網絡設備,Windows主機和Linux主機建立的相應的搜索,并保存在一個新建的Dashboard中,這樣我每天只要打開這個Dashboard就可以清楚的了解所有設備的日志情況。 Splunk的用途很廣泛,我上面提到的只是一點小小的應用。大家可以去[url]www.splunk.com[/url]找到更多的信息。
如何安裝Splunk? Splunk支持多種操作系統,但如果要通過WMI的方式來搜集Windows的日志的話,那么Splunk必須裝在Windows操作系統上。我這里用的是Windows 2003 Standard服務器,具體的安裝步驟很簡單,根據向導一步步的進行就好。
如何配置Splunk? ????? 如前面提到過的,Splunk可以通過多種方式來收集日志,主要包括監聽syslog消息,訪問WMI,監控日志文件,FIFO隊列。我這里以幾個典型配置為例: 1)通過syslog來收集Cisco網絡設備的日志 在Cisco網絡設備上的配置命令一般為: logging <syslog server IP Address> logging trap <severity> Splunk默認使用UDP 514端口來監聽syslog消息。 如: logging 172.29.1.1 logging trap warning 2)通過syslog來收集Linux主機的日志 在Linux主機上的配置一般為: 修改/etc/syslog.conf配置,添加以下兩行: # Send syslog to Splunk server
*.<severity>???????????????? @<syslog server IP Address> 如: # Send syslog to Splunk server
*.debug??????????????? @172.29.1.1 3)通過WMI來收集Windows主機的日志
- 首先要確保運行Splunk服務(在服務管理器中顯示為Splunkd)的帳號有權限就去讀取遠程Windows機器的WMI信息。
- 然后就是要在Splunk服務器上做一下簡單的配置:Splunk的安裝路徑默認為C:\Program Files\Splunk。在C:\Program Files\Splunk\etc\system\local文件下修改inputs.conf文件,添加以下內容:
- [script://$SPLUNK_HOME\bin\scripts\splunk-wmi.py]
interval = 10
source = wmi
sourcetype = wmi
disabled = 0
- [script://$SPLUNK_HOME\bin\scripts\splunk-wmi.py]
- 接著在同一目錄中新建一個文本文件,命名為wmi.conf,并添加以下內容: [WMI:<Name>]???????
server = <Remote Windows Host IP Address>
interval = 60
event_log_file = <Event log Type>
disabled = 0 比如監控IP地址為172.29.1.30的Windows主機上Application和System的Event Log: [WMI:AppAndSys]???????
server = 172.29.1.30
interval = 60
event_log_file = Application, System
disabled = 0
如何使用Splunk? Splunk采用B/S模式,默認端口為8000。如訪問本文中的Splunk服務器,只需要在瀏覽器中輸入[url]http://172.29.1.1:8000[/url]。免費版的是不需要用戶認證便可登錄的,30天試用企業版的是需要認證的,登錄帳號是:用戶為admin,密碼為changeme。登錄后可以清楚的看到在過去的一小時內出現的日志報錯情況。點擊任何一個時間點,Splunk會打開相應的詳細日志。這對我們監控整個企業IT系統以及分析問題都提供了極大的幫助。 那么Google for IT是怎么體現的呢?Splunk提供一套關鍵字搜索的規則,利用這套規則可以進行非常精確的搜索。比如我想查看關于用戶Jackie Chen和Michael Jordan在過去24小時內的所有相關日志的話,就可以在搜索處輸入如下關鍵字。 Splunk還允許用戶保留自己的搜索規則,這樣就不用每次搜索同一內容都輸入一遍關鍵字了。利用這一點,我分別為所有的網絡設備,Windows主機和Linux主機建立的相應的搜索,并保存在一個新建的Dashboard中,這樣我每天只要打開這個Dashboard就可以清楚的了解所有設備的日志情況。 Splunk的用途很廣泛,我上面提到的只是一點小小的應用。大家可以去[url]www.splunk.com[/url]找到更多的信息。
轉載于:https://blog.51cto.com/jackiechen/150222
總結
以上是生活随笔為你收集整理的超级日志服务器-Splunk的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一只海燕飞过来
- 下一篇: Cannot convert type