背景:

  Ossec安装后用了一段时间的analogi作为ossec的报警信息显示平台,但是查看报警分类信息、

以及相关图标展示等方面总有那么一点点的差强人意,难以分析。因此使用逼格高一点的splunk作为

日志分析平台就变得很有必要了。

操作:

 一、ossec服务端配置

  (1)配置ossec数据转发至splunk监听端口

    [root@localhost html]# vim /opt/ossec/etc/ossec.conf

  在<ossec_config>标签下添加<syslog_output>,内容如下,

  其中server标签的IP为接受syslog记录的服务端,即安装splunk服务的主机IP。

  端口为splunk的本地监听端口。

  <syslog_output>

    <server>192.168.129.134</server>

    <port></port>

  </syslog_output>

  (2)使syslog_output模块生效并重启ossec服务端。

[root@localhost html]# /opt/ossec/bin/ossec-control enable client-syslog

[root@localhost html]# /opt/ossec/bin/ossec-control restart

 二、下载并安装splunk

  (1)从官网下载splunk(需注册),下载文件为splunklight-6.4.2-00f5bb3fa822-linux-2.6-x86_64.rpm

  (2)安装splunk:rpm -Uvh splunklight-6.4.2-00f5bb3fa822-linux-2.6-x86_64.rpm

[root@localhost Desktop]# rpm -Uvh splunklight-6.4.-00f5bb3fa822-linux-2.6-x86_64.rpm

warning: splunklight-6.4.-00f5bb3fa822-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY

Preparing...                          ################################# [%]

Updating / installing...

   :splunk-6.4.-00f5bb3fa822        ################################# [%]

complete

  (3)启动splunk:# /opt/splunk/bin/splunk start (启动时会询问是否同意许可,输入y后继续)

[root@localhost Desktop]# /opt/splunk/bin/splunk start

... ...

. FORCE MAJEURE. Splunk will not be responsible for any failure or delay in its

performance under these Terms and Conditions due to causes beyond its reasonable

control, including, but not limited to, labor disputes, strikes, lockouts,

shortages of or inability to obtain labor, energy, raw materials or supplies,

war, acts of terror, riot, acts of God or governmental action.

Do you agree with this license? [y/n]:   y

... ...

  Waiting for web server at http://127.0.0.1:8000 to be available... Done

  If you get stuck, we're here to help. 
  Look for answers here: http://docs.splunk.com

  The Splunk web interface is at http://127.0.0.1:8000

  (4)Splunk的web接口为http://127.0.0.1:8000,尝试访问。

  (5)首次登录请先按着提示输入admin/changeme后,设定新的密码。之后的登录信息为admin+你设定的新密码。

  (6)登录成功

 三、配置Splunk接收来自Ossec的日志转发

  (1)splunk的默认安装路径为/opt/splunk,编辑/opt/splunk/etc/system/local/inputs.conf文件添加以下红色字体内容

    指定的ip为ossec服务器的IP地址。

[root@localhost local]# vim /opt/splunk/etc/system/local/inputs.conf 

[default]

host = localhost.localdomain

[udp://192.168.129.128:10002] # IP address of OSSEC server

disabled = false

sourcetype = ossec

  (2)重启Splunk服务

# /opt/splunk/bin/splunk restart

 四、Splunk数据导入

  (1)导入页面

  

 数据已成功导入

Splunk作为日志分析平台与Ossec进行联动的更多相关文章

  1. ELK+redis搭建nginx日志分析平台

    ELK+redis搭建nginx日志分析平台发表于 2015-08-19   |   分类于 Linux/Unix   |  ELK简介ELKStack即Elasticsearch + Logstas ...

  2. 使用elk+redis搭建nginx日志分析平台

    elk+redis 搭建nginx日志分析平台 logstash,elasticsearch,kibana 怎么进行nginx的日志分析呢?首先,架构方面,nginx是有日志文件的,它的每个请求的状态 ...

  3. ELK_elk+redis 搭建日志分析平台

    这个是最新的elk+redis搭建日志分析平台,今年时间是2015年9月11日. Elk分别为 elasticsearch,logstash, kibana 官网为:https://www.elast ...

  4. linux下利用elk+redis 搭建日志分析平台教程

    linux下利用elk+redis 搭建日志分析平台教程 http://www.alliedjeep.com/18084.htm   elk 日志分析+redis数据库可以创建一个不错的日志分析平台了 ...

  5. 1002-谈谈ELK日志分析平台的性能优化理念

    在生产环境中,我们为了更好的服务于业务,通常会通过优化的手段来实现服务对外的性能最大化,节省系统性能开支:关注我的朋友们都知道,前段时间一直在搞ELK,同时也记录在了个人的博客篇章中,从部署到各个服务 ...

  6. ELK+Filebeat+Kafka+ZooKeeper 构建海量日志分析平台(elk5.2+filebeat2.11)

    ELK+Filebeat+Kafka+ZooKeeper 构建海量日志分析平台 参考:http://www.tuicool.com/articles/R77fieA 我在做ELK日志平台开始之初选择为 ...

  7. centos7搭建ELK Cluster集群日志分析平台(四):Fliebeat-简单测试

    续之前安装好的ELK集群 各主机:es-1 ~ es-3 :192.168.1.21/22/23 logstash: 192.168.1.24 kibana: 192.168.1.25 测试机:cli ...

  8. centos7搭建ELK Cluster集群日志分析平台(三):Kibana

    续  centos7搭建ELK Cluster集群日志分析平台(一) 续  centos7搭建ELK Cluster集群日志分析平台(二) 已经安装好elasticsearch 5.4集群和logst ...

  9. centos7搭建ELK Cluster集群日志分析平台(二):Logstash

    续  centos7搭建ELK Cluster集群日志分析平台(一) 已经安装完Elasticsearch 5.4 集群. 安装Logstash步骤 . 安装Java 8 官方说明:需要安装Java ...

随机推荐

  1. MySQL实战积累

    IFNULL(expr1,expr2)的用法:假如expr1不为NULL,则IFNULL()的返回值为   expr1; 否则其返回值为expr2. 索引:http://www.cnblogs.com ...

  2. Jquery LigerUI框架学习(二)之Tree于Tab标签实现iframe功能

    LigerUI框架Tree于Tab标签动态使用,当点击Tree后动态创建Tab标签,和通常用的iframe框架功能类似 Tree中的关键代码 //Tree初始化 $("#tree1" ...

  3. 如何在LINUX VPS上安装VPN详细步骤

    在vps上安装vpn是个难点,很多朋友都不会,这儿结合一位朋友的安装经验做下介绍.注意你的vps要安装做vpn使用,一定要注意你的流量限制,使用Vpn上游戏上youtube看视频等都比较耗费资源,否则 ...

  4. owin 中间件 katana 如何解密cookie

    .NET MVC5 默认的用户登录组件是AspNet.Identity ,支持owin,并且微软自己实现的一套owin 中间件叫 katana 补充一下 katana项目源码地址:https://ka ...

  5. MVC初学 - The type or namespace name 'DbContext' could not be found

    问题: The type or namespace name 'DbContext' could not be found (are you missing a using directive or ...

  6. Java 8 VM GC Tunning Guide Charter 6

    第六章 并行GC The Parallel Collector The parallel collector (also referred to here as the throughput coll ...

  7. android开发获取屏幕高度和宽度

    宽度:getWindowManager().getDefaultDisplay().getWidth(); 高度:getWindowManager().getDefaultDisplay().getH ...

  8. [algorithm]求最长公共子序列问题

    最直白方法:时间复杂度是O(n3), 空间复杂度是常数 reference:http://blog.csdn.net/monkeyandy/article/details/7957263 /** ** ...

  9. 【BZOJ】【2561】最小生成树

    网络流/最小割 对于所有小于L的边求一个割使得U,V不连通,这样就可以保证L可能在最小生成树里. 最大生成树同理. 答案累加一下即可.(Orz Hzwer) (我一开始怎么会sb地去想到一起求呢……) ...

  10. Spring+Mybatis+Maven 整合配置

    <?xml version="1.0" encoding="UTF-8"?> <beans default-autowire="by ...