Splunk系列：Splunk數(shù)據(jù)接入篇（二）

一、簡(jiǎn)單概述

Splunk支持多種多樣的數(shù)據(jù)源，比如它可以直接上傳文件，可以監(jiān)控本地的任何目錄或文件，也可以配置通用轉(zhuǎn)發(fā)器等方式來(lái)完成數(shù)據(jù)接入。Splunk所有的設(shè)置都可以通過(guò)Web頁(yè)面、使用Splunk CLI命令，甚至是直接修改配置文件，以此來(lái)完成設(shè)置。

那么，如何接入數(shù)據(jù)呢？我們通過(guò)兩個(gè)比較常見的數(shù)據(jù)接入場(chǎng)景做個(gè)應(yīng)用示例吧，即收集syslog 日志以及使用通用轉(zhuǎn)發(fā)器（Agent）收集數(shù)據(jù)。

二、應(yīng)用實(shí)例1：收集syslog日志

2.1、Linux rsyslog客戶端配置

（1）rsyslog安裝

yum install rsyslog

（2）啟用TCP進(jìn)行傳輸

vim /etc/rsyslog.conf# Provides TCP syslog reception     #若啟用TCP進(jìn)行傳輸，則取消下面兩行的注釋$ModLoad imtcp$InputTCPServerRun 514*.* @@192.168.44.130:514

（3）重啟rsyslog服務(wù)

systemctl restart rsyslog

2.2、Splunk TCP監(jiān)聽配置

（1）依次訪問訪問首頁(yè)→ 添加數(shù)據(jù) →監(jiān)視 →TCP/UDP，選擇TCP，確認(rèn)端口，點(diǎn)擊下一步。

（2）選擇來(lái)源類型，確認(rèn)主機(jī)和索引，點(diǎn)擊檢查。

（3）檢查確認(rèn)后，點(diǎn)擊提交。

（4）這里已經(jīng)完成TCP監(jiān)聽端口的創(chuàng)建，點(diǎn)擊開始搜索，可以發(fā)現(xiàn)linux客戶端傳輸過(guò)來(lái)的syslog數(shù)據(jù)。

三、應(yīng)用實(shí)例2：使用通用轉(zhuǎn)發(fā)器收集Windows日志

3.1 配置Splunk接收端口

（1）設(shè)置→轉(zhuǎn)發(fā)和接收→配置接收,新增接收端口。

3.2 配置Windows通用轉(zhuǎn)發(fā)器

（1）雙擊msi文件進(jìn)行安裝。

（2）將通用轉(zhuǎn)發(fā)器配置為部署客戶端。

（3）配置接收的服務(wù)器端口。

（4）點(diǎn)擊install，直到完成安裝。

3.3 添加Windows事件日志

（）在設(shè)置→轉(zhuǎn)發(fā)器管理里面，可以看到已上線的客戶端。

（2）設(shè)置→數(shù)據(jù)輸入，選擇Windows事件日志，新建新遠(yuǎn)程Windows事件日志。

（3）選擇來(lái)源，選擇事件日志。

（4）選擇索引，或者新建索引。

（5）檢查后提交。

（6）完成數(shù)據(jù)添加。

（7）點(diǎn)擊開始搜索，成功獲取到Windows事件日志。