Splunk setup guide

最新推荐文章于 2025-10-03 15:39:23 发布
原创 最新推荐文章于 2025-10-03 15:39:23 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#splunk

本文介绍 Splunk Light 的安装、配置及基本使用流程,包括数据添加、搜索、可视化等核心功能,并提供了 Splunk Light 的下载链接及初始设置步骤。
<Splunk Light>

别称: google for IT
口号:Take the sh out of IT

# 下载
http://www.splunk.com/en_us/download/splunk-light.html

# 解压
unzip splunklight-6.3.2-aaff59bb082c-Linux-x86_64.tgz
mv splunklight-6.3.2-aaff59bb082c-Linux-x86_64 splunklight-6.3.2

# 启动
cd /appl/splunklight-6.3.2
bin/splunk start
(第一次启动需要同意license,关闭同理:bin/splunk stop)

# 检查
bin/splunk status

# 开启remote端口给主机访问
/sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT
/etc/init.d/iptables save
service iptables restart

# 访问
http://192.168.56.250:8000

# 初始账号
admin/changeme(改为你的新密码)

# 使用
(1)开始使用时,需要添加数据


(2)有三种方法添加数据:上载、监视和转发


(3)索引数据后,可以开始搜索


(4)使用搜索处理语言生成可视化


(5)可以将搜索保存为例如电子邮件通知等触发操作的告警


(6)使用边栏菜单



# 我觉得Splunk中几个很棒的功能
(1)自动换行


(2)可视化正则filter
这在logstash中是全手工正则非可视化配置的~~
a. 新建字段


b. 引入字段


这样,搜索栏就可以使用新建字段了




(3)上文中的告警


# 可视化
(1)先保存搜索条件为仪表板面板


(2)去到仪表板菜单,编辑面板


(3)右边图形选择图标,默认事件,这里可以选不同图形


# log
/appl/splunklight-6.3.2/var/log/splunk/ 
(splunkd.log,splunkd_stderr.log,web_access.log)

# 配置
/appl/splunklight-6.3.2/etc/system/default
/appl/splunklight-6.3.2/var/run/splunk/merged
/appl/splunklight-6.3.2/etc/system/README
...

# 参考
http://blog.youkuaiyun.com/yangning5850/article/details/10373417
http://docs.splunk.com/Documentation/SplunkLight/latest/GettingStarted/StartSplunkLightandlogintoSplunkWeb

# Q&A
Q:Splunk Light vs. Splunk Enterprise

A:http://www.splunk.com/en_us/products/splunk-light/splunk-light-vs-splunk-enterprise.html

Q:Splunk底层的搜索技术为何?是 Lucene吗?
A:Splunk已开发出其特有、专为实时制作IT数据索引的独特问题所设计的搜索技术。Splunk的研发团队包括某些世界最优秀的搜索引擎架构工程师,耗费数年时间以解决这类型数据所独有的问题。

Q:其它常见问题
A:http://www.splunk.com/zh-hans_cn/view/SP-CAAAC9H

Splunk中对字段值内部进行换行
QYHuiiQ
02-28 1079
splunk中,有时某个字段的值可能是一长串多个具有key-value含义的拼接,但是我们想将这一长串的拼接在值的内部已换行的形式展示出来,比如在alert email body中直接使用该值时,就会以换行的形式展示,便于阅读。下面是两种方法,一种是mode=sed的方式,一种是以replace直接替代为换行的方式。 #case1,假设长串中以分号来连接key-value | makeresults | eval name="aaa",age="bbb",address="ccc" | eval
Splunk中将一条多行记录拆成多条记录
QYHuiiQ
09-15 958
splunk中,有些数据可能是一条记录,但是这条记录存在换行,所以我们想把每一行都拆分成单独的一条数据,使用如下正则: index="xxx" source="yyy" | rex max_match=0 "^(?<lines>.+)\n*" | mvexpand lines | table lines ......
Splunk 体系介绍
热门推荐
ffjl1985的专栏
11-08 1万+
Splunk总体介绍 Splunk是什么     Splunk是一个分析计算机系统产生的机器数据,并在广泛的场景中提供数据收集、分析、可视化分布式的数据计算平台。 Splunk 是一个数据引擎。 针对所有IT系统和基础设施数据, 提供数据搜索、报表和可视化展现。 Splunk是软件 – 5分钟就可以下载和安装。 可以运行在各种主流的操作系统平台。  Splunk做什么
splunk简介
wjandy0211的博客
06-15 3667
最近在写一个日志管理平台的系统,底层借鉴了graylog,今天我们领导告诉我splunk是业界的顶端,希望我们向splunk看齐。所以下午整个时间研究一下splunk。本次研究方向是splunk产品的功能特点,代码的东西就不再做分析了。 splunk简单定义: 单点、实时搜索并分析所有IT系统所产生的数据,还能确保快速的故障排除和事件审查。提供了强大的统计分析和关联功能。除此之外,它还提供了用于告警、监测、报告和分析的交互式用户界面。 Splunk 软件可在单点实时搜索、报告、监测并分析企业IT设施中
一、splunk入门
weixin_43374578的博客
10-25 7705
一、简介 1. Machine Data 一般公司中,机器数据占了大概90%以上,包含如应用数据,监控数据,脚本数据等; 机器数据的数据结构各种各样; 处理数据繁琐且难度大,因此引入工具来提升数据分析效率; 2. Splunk 用来处理数据的,主要包含5个功能 2.1 Index Data 将所有数据进行处理,索引,将数据包装成一个个的event,并存储在指定的位置中; 在检索的时候,通过输入的检索条件,从指定的位置中去读取数据; 2.2 Search & Investigate 在搜
29、Multi - Cloud Security: A Comprehensive Guide
最新发布
cnn8visionary的博客
10-03 57
本文全面探讨了多云环境下的安全策略,涵盖安全政策定义、身份与访问管理(IAM)、数据保护与加密、以及安全监控的实施。通过结合主流云服务商(Azure、AWS、GCP)的安全工具和框架(如NIST、ISO 27001),并引入SIEM/SOAR解决方案(如Splunk、Azure Sentinel),为企业构建统一、可扩展的多云安全体系提供指导。文章还介绍了使用Active Directory进行身份联邦、基于最小权的访问控制、密钥管理及自动化响应的最佳实践。
26、Ansible: EC2, VPC, and Callback Plug-ins Guide
night的博客
10-02 25
本文详细介绍了如何使用Ansible管理EC2实例、配置VPC网络、创建安全组,并深入探讨了Ansible回调插件的使用。内容涵盖实例分组、Web服务器配置、VPC及子网设置、模块幂等性检查机制,以及stdout、通知和聚合类回调插件的配置与应用场景,帮助用户提升自动化运维效率并集成报告与通知系统。
Comprehensive Guide to Spring Cloud Service Gateway Zuul
weixin_65409651的博客
08-07 485
【代码】Comprehensive Guide to Spring Cloud Service Gateway Zuul。
基于docker的ELK环境搭建
小码哥
08-14 745
elk介绍 elk是elastic公司提供的一套完整的日志收集和展示的解决方案,它是由三个产品的首字母缩写而成,分别是elasticSearch、logstash、kibana elasticSearch: 简称 Es,它是一个分布式搜索引擎,可用于全文搜索、结构化搜索以及分析。它是一个建立在全文搜索引擎(Apache Lucene)基础上的一个搜索引擎。使用java语言编写 logstash:一个具有实时传输的数据收集引擎,用来进行数据收集(例如:读取文本文件)、解析、并将数据发送给es Kibana
大数据领域数据安全的重要性与挑战解析
AIGC应用创新大全的博客
09-14 1296
阶段核心风险示例场景采集数据来源不可信(如第三方数据注入恶意代码)某电商平台接入第三方物流数据,导致用户地址信息被篡改存储权泄露(如S3公开桶)、数据篡改2022年,特斯拉S3公开桶泄露10万条客户数据处理算法攻击(如模型反演、数据投毒)某银行用机器学习模型评估信用,攻击者注入虚假数据导致模型误判传输中间人攻击(MITM)、数据窃听物联网设备通过未加密的MQTT协议传输数据,被黑客截获共享隐私泄露(如关联分析暴露个人信息)
splunk 正则表达式的使用
09-29
splunk 正则表达式的使用 如何搜索splunk具体内容
splunk分布式日志收集和搜索
04-09
分布式 搜索 日志收集分布式 搜索 日志收集分布式 搜索 日志收集
Splunk工具学习(下载、安装、简单使用、核心概念)
关注网络安全、云原生安全
03-24 1万+
目录什么是Splunk?介绍Splunk的应用场景Splunk架构Splunk下载与安装docker安装(推荐)手动安装Splunk简单使用登录搜索参考 什么是Splunk? 介绍 splunk的一个可扩展且可靠的数据平台,用于调查、监控、分析和处理您的数据,在加速创新的同时确保安全性和系统弹性,释放资源来发现数据中的机会并提供创新,即使面对不可预测性也是如此。随着攻击的复杂性和攻击面不断扩大,确保强大的安全态势越来越具有挑战性。Splunk 使客户能够实现其安全运营的现代化,在混合、多云环境中提供更强大
splunk 学习笔记之二[搜索语法]
weixin_30598225的博客
08-01 1344
splunk 搜索语法 全文搜索 搜索框直接输入”搜索词“   purchase 查找匹配词”purchase“ 字段搜索 字段名=”搜索词“ source="Sampledata.zip:./apache3.splunk.com/access_combined.log" 查找数据来源为"Sampledata.zip...
使用开源Echarts为Splunk打造类似语法驱动的分析可视化
weixin_34281477的博客
05-02 512
2019独角兽企业重金招聘Python工程师标准>>> ...
splunk配置转发和接收
Jepson的博客
01-14 7238
项目需求:将服务器A:192.168.149.200中的某路径下的文件转发到服务器B:192.168.149.100中 实现方法:在服务器A上安装一套splunk Enterprise(splunk自带的重型转发器功能)或者是splunk 通用转发器(splunkforwarder),在服务器B上安装一套splunk Enterprise,用于接收来自A转发的文件数据,并进行索引。转发器的配置大致...
大数据搜索选开源还是商业软件?ElasticSearch 对比 Splunk
weixin_34326429的博客
05-02 1004
本文就架构,功能,产品线,概念等方面就ElasticSearch和Splunk做了一下全方位的对比,希望能够大家在制定大数据搜索方案的时候有所帮助。 简介 ElasticSearch (1)(2)是一个基于Lucene的开源搜索服务。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,...
Splunk组件和架构详解
ChainingBlocks
03-03 1万+
本人主要讲解的是Splunk组件和架构!Splunk主要解决的问题splunk提供了统一管理分布在不同机器上的数据(比如日志数据)的服务。如下图所示: Splunk是一个功能完备的企业级产品,提供了命令行窗口,web图形界面接口和其他接口,查询结果展示,数据查询,权控制,分布式管理服务,数据索引,网络端口监听,数据警报,文件监听等等。ForwarderSplunk提供了Forwarder组件,它
Splunk架构学习笔记
u010979584的博客
02-06 5368
splunk
掌握最新 Splunk 应用开发全攻略:设计与实现
Splunk开发者指南(第二版,2016)》是一本由Kyle Smith编著的专业技术书籍,专为想要深入了解和掌握Splunk平台的开发人员设计。Splunk是一个强大的数据搜索、分析和可视化工具,在企业级应用中广受欢迎,客户群体...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值