命令行操作以及相关信息
⇨⇦
OU=xdf_users OU=xindongfang DC=yunjm DC=contoso DC=com 用户
OU=xindongfang DC=yunjm DC=contoso DC=com 组
**
*
*磁盘中VM
********************
=======================================================================================
Splunk-Master inet addr:192.168.154.140 Bcast:192.168.154.255 Mask:255.255.255.0
Splunk-Index-01 inet addr:192.168.154.141 Bcast:192.168.154.255 Mask:255.255.255.0
Splunk-Index-02 inet addr:192.168.154.142 Bcast:192.168.154.255 Mask:255.255.255.0
Splunk-Index-03 inet addr:192.168.154.143 Bcast:192.168.154.255 Mask:255.255.255.0
=======================================================================================
****
*
*搭建Splunk环境的命令
***********************
#################################################################################################
CentOS 6.5
vim /etc/sysconfig/network
vim /etc/hosts
service iptables stop
chkconfig iptables off
CentOS 7
hostnamectl set-hostname Splunk-forword 修改主机名
1、关闭firewall:
systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #禁止firewall开机启动
firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running)
2、iptables防火墙(这里iptables已经安装,下面进行配置)
vi/etc/sysconfig/iptables #编辑防火墙配置文件
# sampleconfiguration for iptables service
# you can edit thismanually or use system-config-firewall
# please do not askus to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT[0:0]
:OUTPUT ACCEPT[0:0]
-A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -jACCEPT
-A INPUT -i lo -jACCEPT
-A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT--reject-with icmp-host-prohibited
-A FORWARD -jREJECT --reject-with icmp-host-prohibited
COMMIT
:wq! #保存退出
#################################################################################################
*
*SPLUNLK
*********************
ls -l splunk*
tar zxvf splunk-* - Linux -*.tgz -C /opt 安装splunk
cd /opt/splunk/bin
./splunk start --accept-license
http8000web端口 8089管理端口 mgmt
http://myalfresco.fulan:8000
默认账户是:admin
默认密码是:cangeme
首次登录需要改密码
防火墙:service iptables status
splunk 开机自启动 ./splunk enable boot-start
卸载 splunk Enterprise
splunk disable boot-start禁用自启动
splunk stop
rm -rf/opt/splunk
卸载要慎重, 注意数据备份
****
*
*卸载
****************
$SPLUNK_HOME/bin/splunk stop
Find and kill any lingering processes that contain "splunk" in their name.
For Linux
For Mac OS
Remove the Splunk Enterprise installation directory, $SPLUNK_HOME.
rm -rf /Applications/splunk
###################################################################################################
**
*
*安装 splunk Universal Forwarder
***************************************
tar xzvf splunkforwarder—*.tgz -C /opt
/opt/splunkforwarder/bin/splunk start --accept-license
/opt/splunkforwarder/bin/splunk enable boot-start
会出现一个端口冲突的问题 :8090
重新设置端口
./splunk show splunkd-port
./splunk set splunkd-port 8091
修改密码:
-role admin -auth admin:changeme
**
*
*windows DOS命令
*******************************
net start splunk
net stop splunk
./splunk show splunkd-port
./splunk show web-port
=======================================================
**
*
*归档路径
***********************
################################################################
cd /opt/splunk/var/lib/splunk/
cd /opt/splunk/etc/apps/要归档的索引/local
cd /opt/splunk/etc/apps/search/local
################################################################
*******************
*
*归档配置参数
*21600 一天
*648000一个月
*188697600 6年
①归档的保存周期(天数配置参数)
②冻结归档路径命令
***************************************
###################################################################################################
①frozenTimePeriodInSecs = 21600
②coldToFrozenDir =
###################################################################################################
**********************
*history 查看历史操作*
*解冻命令 *
**********************
##################################################################################################
cp -rf db_1515994584_1515990961_0/opt/splunk/var/lib/splunk/解冻的索引/thaweddb/ #
cd /opt/splunk/var/lib/splunk/要解冻的索引/thaweddb #
../thaweddb/ls | xargs -i /opt/splunk/bin/splunk rebuild {} #
################################################################
**
*
*常用目录
*******************
#######################################################################################################################
主目录
$Splunk_Home/bin #主要脚本目录
$Splunk_Home/etc #主要配置目录
$Splunk_Home/var #主要日志目录和数据目录
常用目录
$Splunk_Home/etc/system/ #系统常用配置目录
$Splunk_Home/etc/users #用户角色及用户配置目录
$Splunk_Home/etc/apps #应用目录
$Splunk_Home/etc/deployment-apps #客户端应用推送目录
$Splunk_Home/etc/master-apps #索引推送目录
$Splunk_Home/etc/shcluster #搜索头应用推送目录
注意事项
$Splunk_Home/etc/system/default --它是Splunk自带的默认配置文件,不要编辑此目录下文件,因为每次跟新系统时它们将被重写。
$Splunk_Home/etc/system/local --全局配置文件
###########################################################################################################################
**
*
*常用命令
*******************
###########################################################################################################################
./splunk show splunkd-port
./splunk set splunkd-port 8091 重新设置端口
修改密码:
-role admin -auth admin:changeme
常用命令
启动splunk start
关闭splunk stop
重启splunk restart
查看状态:splunk status
查看版本:splunk version
查看进程:ps -ef |grep splunk
service iptables status 状态
en_US 英文
zh_CN 中文
################################################################
***************************************************************************************
*cd /opt/splunk/bin
*ll
*deployment -apps
*ls
* 要是配置splunkForwarder 会变成重量转发器
* splunkLInghtForwarder 是轻量转发器
* splunk management consol 管理
* cat indexes.conf
*****************************************
*default vs local *
* *
*default 目录是splunk自带的目录 *
*自定义的配置都要放在local目录下 *
*千万不要直接修改default目录下的文件 *
*升级default目录会被覆盖,local目录则不会*
******************************************
配置端口号
查看端口号
splunk show splunkd-port
splunk show web-port
修改端口
splunk set splunkd-port
splunk set web-port
服务器配置命令
splunk set servername mysplunk1
splunk set default-hostname myhost1
splunk enable web-ssl
splunk disable web-ssl
修改用户密码
splunk add user //新增用户
splunk list user //列出用户
splunk remove user // 删除用户
**
*
*索引操作
****************
splunk list index 列出所有索引
splunk add index//添加索引
splunk remove index//删除索引
splunk enable index//启用索引
splunk disable index//禁用索引
splunk reload index//重新加载索引
例如:
splunk add index myindex01
splunk disable index myindex01
**
*
*启用监听端口
***************
splunk enable listen 9997
splunk disable lsitisten 9997
splunk display listen
**
*
*splunk show 命令
******************
Splunk show web-port
Splunk show splunkd-port
Splunk show defaule-hostname
Splunk show servername
Splunk show datastore-dir
**
*
*转发器常用命令
******************
################################################################
splunk remove monitor//删除监控项
splunk list monitor //列出监控项
splunk add forward-server 192.168.1.113:9997//添加转发服务器
splunk remove forward-server 192.168.1.113:9997//删除
splunk list forward-server //列出转发服务器
./splunk add monitor /var/log/audit.log -index main
*****
*splunk help 命令
*******************
splunk help
splunk help commands
splunk help index
splunk help monitor
splunk help show
splunk help forward-server
splunk help set
################################################################
################################################################
①同意默认的
②选择一个安装位置
③公司有相应的证书进行加载公司的证书
在填入密码
④有两个选择 第一个是 本地用户 第二个*是用户
由于视频安装的本地的所以选择 本地用户
⑤第一个是是否采集本地win系统的事件 这里视屏全选
第二个是 是否采集win性能的数据
第三个是否监控一些本地的文件
⑥一个是默认的安装版本 还可以选择其他版本 进行安装:
⑦部署服务器 在这里没做详细的分析
⑧这里配置是本地locahost 端口是9997 默认是9997 也可以设置其他
⑨在web页面里点设置---转发与接收
接收数据里面选择新增 设置为9997 这里面设置完不需要
重新启动splunk
⑩查看接收端口splunk display listen
账号 密码 会展示 端口号"例如:9997"
在添加一个 在crl命令进行
splunk enable listen 9998
系统自动检测 自动修改端口
端口号: 查询:
cd 安装splunkUF文件bin目录下 splunk show splunk-port
账号admin 密码 changeme 会展示 端口号"例如:"8090"
修改密码 : splunk edit user admin password
################################################################
配置splunk服务器名称
设置-》服务器设置-》常规设置
默认是服务器主机名
也可以通过命令行修改
splunk set servername myname1
修改后需要重启 restart
修改主机host名称
通过web页面可以修改
cli命令行为:./splunk set default
-hostname mysplunkserver
splunk Web 启用SSL(HTTPS)
在splunk Cli命令
splunk enable web-ssl //启动ssl
splunk disable web-ssl //禁用ssl
重启后 splunk web
例如:https://192.168.1.113:8000
修改默认索引位置
默认索引位置:/opt/splunk/var/lib/splunk/
mkdir/foo/splunk/ //非root用户请更改
目录所有者(chown)
splunk stop
cp -rp /opt/splunk/var/lib/splunk/*/foo/splunk/
vi/opt/splunk/etc/splunk-launch.conf
SPLUNLK_DB=/foo/splunk
splunk start
cd ../var/lib/splunk/
pwd
带_的是内部索引
main.dat是默认索引
查看索引 ./splunk list index
配置接收端口
splunk Enterprise 与 Universal Forwarder
之间的接收端口默认为TCP9997
设置-》 转发与接收-》配置接收,新增9997
通过splunk CLi 命令
splunk enable listen 9997
无需重启
创建索引
索引: 被索引的数据存储在索引(index)中
类似于database
设置->索引:
默认为main
在splunk web 中创建/删除索引
通过splunk CLi创建索引
splunk addindex myindex1
splunk remove index myindex1
./splunk init shcluster-config -auth admin:admin -mgmt_uri https://192.168.2.43:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.102:8089 -secret admin
./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.114:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com
./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.130:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com
./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.145:8089" -auth admin:admin
./splunk show shcluster-status -auth admin:1234.com
**
*关闭防火墙
*****************
systemctl stop firewalld.service #停止firewall
systemctl disable firewalld.service #禁止firewall开机启动
firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running)
################################################################
**
*./splunk enable boot-start
splunk disable boot-start
*entos7的网卡重启方法
***************************
1、centos6的网卡重启方法:service network restart
centos7的网卡重启方法:systemctl restart network
nmtui
2、DNS配置文件:cat /etc/resolv.conf
设置主机和IP绑定信息:cat /etc/hosts
设置主机名:cat /etc/hostname
3、可以使用nmtui文本框方式修改IP
4、关闭防火墙并设置开机不启动
查看防火墙状态:systemctl status firewalld.service
关闭:systemctl stop firewalld
开启:systemctl start firewalld
开机自动关闭:systemctl disable firewalld
开机自动启动:systemctl enable firewalld
查看开机是否启动:chkconfig --list|grep network(RHLE6)
图形化
yum groupinstall "GNOME Desktop" "Graphical Administration Tools"
################################################################
[shclustering
_internal
server.conf
find -name "server.conf" 找指定的文件
--accept-license
mstsc 远程连接
*history
frozenTimePeriodInSecs= 归档的保存周期(天数配置参数)
21600 一天
648000一个月
188697600 6年
coldToFrozenDir= 冻结归档路径命令
cd var/lib/splunk/eucp/tempdb
ls | xargs -i /var/opt/splunk/bin/splunk rebuild {}"
./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.136:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com
./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.114:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com
./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.130:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com
$Splunk_Home/bin 下发App./splunk apply shcluster-bundle -target https://192.168.2.136:8089 -auth admin:1234.com
./splunk apply shcluster-bundle -target https://192.168.2.147:8089 -auth admin:1234.com
配置search管理员./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.130:8089,https://192.168.2.114:8089" -auth admin:admin
[deployment-client]
disabled = 0
phoneHomeIntervalInSecs = 20
[target-broker:deploymentServer]
targetUri = 192.168.2.100:8089
**
*Splunk-search群集搭建命令
*
*********************
./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.147:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com
./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.148:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com
./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.149:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com
重启后再制定管理员
**
*配置search管理员
********************
./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.148:8089,https://192.168.2.149:8089" -auth admin:1234.com
[monitor://E:YJMyunjm.log]
index=bm
sourcetype = all
disabled = 0
whitelist =
blacklist =
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = 192.168.2.135:9997,192.168.2.106:9997,192.168.2.101:9997,192.168.2.107:9997
[tcpout-server://192.168.2.135:9997]
[tcpout-server://192.168.2.106:9997]
[tcpout-server://192.168.2.101:9997]
[tcpout-server://192.168.2.107:9997]
Props.conf
[all]
CHARSET = CSGB2312
DATETIME_CONFIG =
NO_BINARY_CHECK = true
category = Custom
disabled = false
pulldown_type = true
非root下
创建foo/splunk
配置:
vi opt/splunk/etc/splunk-launch.conf
SPLUNK_DB=/foo/splunk
reindex
重新索引所有数据(删除索之前的索引) 开始执行以下命令
splunk clean eventdata -index_thefishbucket
选择性重新索引某个文件
splunk cmd btprobe -d
$SPLUNK_HOME /var/lib/splunk/fishbucket/splunk_private_db --file $FIE --reset
转发过来的数据 要把转发器上的索引 和 已转过去的索引 删除在执行以上命令
./splunk check-integrity -bucketPath [ bucket path ] [ verbose ]
./splunk check-integrity -index [ index name ] [ verbose ]
indexes.conf下配置:
enableDataIntegrityControl=true
rawChunkSizeBytes = 131072
./splunk generate-hash-files -bucketPath
[ bucket path ] [ verbose ]
./splunk generate-hash-files -index