初学Splunk

splunk简介

https://www.splunk.com/zh-hans_cn/download.html

splunk 简体中文版手册

http://docs.splunk.com/Documentation/Splunk/6.5.0/Translated/SimplifiedChinesemanuals
========================================================

Splunk 是面向云的日志搜索引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备
（物理、虚拟和云中）生成的快速移动型计算机数据 。从一个位置搜索并分析所有实时和历史数据。使
用 Splunking 处理计算机数据，可让您在几分钟内（而不是几个小时或几天）解决问题和调查安全事件。
监视您的端对端基础结构，避免服务性能降低或中断。以较低成本满足合规性要求关联并分析跨越多个系
统的复杂事件。获取新层次的运营可见性以及 IT 和业务智能。

功能特性
1、多平台支持
2、从任意源索引任意数据
3、从远程系统转发数据
4、关联复杂事件
5、专为大型数据构建
6、在整个数据中心扩展
7、提供角色型的安全性

Splunk安装

如果你是第一次访问Splunk网站，需要先注册一个Splunk用户，默认下载的是60天Enterprise试用版，60天试用之后将自动转化为Free版，

转化位Free版后每日处理的日志量最高位500M。

========================================================
安装Splunk
1. 确保/opt有足够的空间
2. 安装Splunk

[root@root rpms]# ls
splunk-5.0.2-149561-linux-2.6-x86_64.rpm
splunkforwarder-5.0.2-149561-linux-2.6-x86_64.rpm

[root@root rpms]# rpm -ivh splunk-5.0.2-149561-linux-2.6-x86_64.rpm
[root@root rpms]# ls /opt/splunk/
bin lib share
etc license-eula.txt splunk-5.0.2-149561-Linux-i686-manifest
ftr openssl
include README-splunk.txt

启动Splunk

[root@root rpms]# /opt/splunk/bin/splunk start
[root@root rpms]# /opt/splunk/bin/splunk status
splunkd is running (PID: 9116).
splunk helpers are running (PIDs: 9118).
splunkweb is running (PID: 9167).

配置环境变量：

[root@root ~]# vim .bash_profile
SPLUNK_HOME=/opt/splunk
PATH=$PATH:$SPLUNK_HOME/bin
export SPLUNK_HOME PATH    
[root@root ~]# source .bash_profile
[root@root ~]# env |grep SPLUNK
SPLUNK_HOME=/opt/splunk

设置开机启动：

[root@root ~]# splunk enable boot-start
Init script installed at /etc/init.d/splunk.
Init script is not configured to run at boot.
[root@root ~]# chkconfig splunk --list
splunk 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
[root@root ~]# service splunk restart

登录Web管理界面

[root@root ~]# firefox http://localhost:8000 &

Splunk授权使用

第一次安装好splunk后，Splunk会给你一个60天试用Enterprise版的授权，其允许最多每天500M的日志索引量，这个授权包含着我们的安装包中。
Enterprise授权提供如下Free版中没有的功能功能：
1.多用户使用和存取控制
2.分布式检索和数据路由
3.快捷管理部署及以tcp/http方式传输
4.告警和监控
60天后你将无法使用Enterprise版功能，splunk系统自动降级位Free版，如果你在试用后很喜欢splunk，并且需要更多的授权日志检索量，你可以向Splunk公司购买相应的授权。你付款成功后将收到由Splunk发送来的电子邮件，邮件中将以附件的形式发送授权文件，保存授权文件后，你可以进入splunk.uplooking.com页面添加授权文件来完成授权的动作。
打开浏览器后，登陆splunk，在右上角点击“管理器”，找到“系统”项目，点击其中的“授权”项目，点击“添加许可证”，找到你的授权文件，并添加入许可证组。

Splunk导入本地日志
========================================================

一、添回数据
添加数据---->选择数据类型(syslog) ---->使用此 Splunk 服务器上的任何 syslog 文件或目录---->
在索引之前预览数据(/var/log/messages)---->继续 ---->继续 ---->保存

二、搜索日志示例

source="/var/log/secure" 192.168.2.125
source="/var/log/secure" AND 192.168.2.125
source="/var/log/secure" AND 192.168.2.125 AND user=root NOT failures
source="/var/log/secure" AND 192.168.2.125 AND user=root AND failures

Splunk导入远程Apache日志
========================================================

Splunk server 192.168.2.126 端口9997
Splunk Forwarders 192.168.2.125

一、服务器端配置接收
管理器---->数据(转发和接收) ---->接收数据(新增) ---->端口9997 ---->保存
注意iptables

二、客户端配置Forward
0. 目标将该目录中的所有日志转发到Splunk server

[root@web_splunk ~]# ls /var/log/httpd/
access_log error_log

1. 安装＆启动

[root@web_splunk rpms]# rpm -ivh splunkforwarder-5.0.2-149561.i386.rpm
[root@web_splunk rpms]# /opt/splunkforwarder/bin/splunk enable boot-start
[root@web_splunk rpms]# chkconfig splunk on
[root@web_splunk rpms]# service splunk start

2. 配置转发日志

[root@web_splunk ~]# /opt/splunkforwarder/bin/splunk add forward-server 192.168.5.240:9997
Splunk username: admin
Password: changeme
Added forwarding to: 192.168.2.126:9997.

[root@web_splunk ~]# cd /opt/splunkforwarder/etc/system/local/
[root@web_splunk local]# ls
inputs.conf outputs.conf README server.conf

[root@web_splunk local]# cat outputs.conf //转发目标地址
[tcpout]
defaultGroup = default-autolb-group    

[tcpout:default-autolb-group]
server = 192.168.2.126:9997
[tcpout-server://192.168.2.126:9997]

[root@web_splunk local]# cat inputs.conf
[default]
host = web_splunk
[monitor:///var/log/httpd]    //要转发的日志

[root@web_splunk ~]# service splunk restart

测试：

注意：0字节的日志文件不会被转发
我们多次访问网站后，日志会不断更新，splunk中也会不断更新。

Splunk应用扩展
========================================================

Splunk作为一个可扩展的日志分析平台目前支持基于API的扩展，第三方可以基于
Splunk的API编写Splunk应用扩展。通过Splunk 应用扩展，可以增强Splunk对数据的进一步分析。
安装Splunk应用可以通过Splunk的web界面，也可以通过Splunk的文本控制界面。
连接https://192.168.2.126:8000, 点选“管理器”：

点击“应用”，打开“应用管理界面”页：

此界面页中是已经安装的“应用”，包括Splunk默认应用。
我们可以通过三种方式安装或创建新应用：
1. 联机查找更多应用：如果你可以连接互联网，这是一个方便的安装应用方式
2. 从文件安装应用：如果你无法连接互联网，可以通过这种方式将下载好的应用安装到Splunk中
3. 创建应用：如果你是splunk第三方开发或是有自己的使用系统，可以通过这个选型创建自己的应用
在此页中，我们可以控制“应用”的状态，可以通过web界面“启用”或“禁用”应用，并且配置应用的某些属性。
   
已经下载好的“Splunk for Unix and Linux”应用包，文件名为“unix.tar.gz”。可以通过“从文件安装应用”来安装它。
点击“应用管理界面”页里的“从文件安装应用”,进入“上载应用”页。

splunk服务重启完成后，会要求你在浏览器中重新登陆。
登陆后在右上角的“应用”下拉菜单中，我们会发现一个新的应用“*NIX 4.6”，点击“*NIX 4.6”，进入“Splunk For Unix and Linux”应用。由于是第一次进入，我们需要去设置这个应用：

点击”Configure”，进入配置界面
这个界面基本上需要我们改动的是在“Scripted Inputs：”中打开需要监控的项目，
点击“Enable”就是打开，后面的“interval”是检查周期单位为秒。
我们按下图打开cpu、内存、I/O等检测项。

点击“save”保存。看到下面的界面就算安装正确了，点击“ok”

接下来，大家可以等上3~5分钟后，查看“CPU”、“Memory”、“Disk”等下拉菜
单预定义的视图，通过它们分析splunk.master.com主机的运行状态。
“Cpu Overview” 如下图所示：

“Memory Overview”如下图所示：

实例：Splunk Unix 异地性能监视应用
从运维的角度来讲，我们需要收集所以服务器的运行状态，并且将这些性能状态数据汇总起来。
接下来我们需要配置其他主机上的Splunk应用来转发其性能数据，并且在192.168.2.126 上汇总它们。
下载“Splunk for Unix and Linux technology add-on”应用文件，并且放置在web.master.com服务上，应用文件名为”Splunk_TA_nix.tar.gz”

“Splunk for Unix and Linux technology add-on”，这个应用并不安装在splunk.master.com主机上，而是安装在需要转发数据的服务器上，例如：web.master.com 服务器，转发服务器需要安装Splunk Forwarder，并且允许转发数据送达Splunk服务器。

被监控端：  
安装：

# tar xvzf Splunk_TA_nix.tar.gz -C /opt/splunkforwarder/etc/apps
# chown splunk.splunk /opt/splunkforwarder/etc/apps/Splunk_TA_nix –R

配置：

# mkdir /opt/splunkforwarder/etc/apps/Splunk_TA_nix/local
# cp /opt/splunkforwarder/etc/apps/Splunk_TA_nix/default/inputs.conf
/opt/splunkforwarder/etc/apps/Splunk_TA_nix/local

将inputs.conf 文件从default目录下拷贝到local目录下，然后编辑inputs.conf文件。
将你需要转发的数据项disabled = 1改为disabled = 0。
:%s/disabled = 1/disabled = 0

# Copyright (C) 2005-2011 Splunk Inc. All Rights Reserved.
[script://./bin/vmstat.sh]
interval = 60
sourcetype = vmstat
source = vmstat
index = os
disabled = 0s
[script://./bin/iostat.sh]
interval = 60
sourcetype = iostat
source = iostat
index = os
disabled = 0
[script://./bin/ps.sh]
interval = 30
sourcetype = ps
source = ps
index = os
disabled = 0
[script://./bin/top.sh]
interval = 60
sourcetype = top
source = top
index = os
disabled = 0
[script://./bin/netstat.sh]
interval = 60
sourcetype = netstat
source = netstat
index = os
disabled = 0
[script://./bin/protocol.sh]
interval = 60
sourcetype = protocol
source = protocol
index = os
disabled = 0
[script://./bin/openPorts.sh]
interval = 300
sourcetype = openPorts
source = openPorts
index = os
disabled = 0
[script://./bin/time.sh]
interval = 21600
sourcetype = time
source = time
index = os
disabled = 1
[script://./bin/lsof.sh]
interval = 600
sourcetype = lsof
source = lsof
index = os
disabled = 0
[script://./bin/df.sh]
interval = 300
sourcetype = df
source = df
index = os
disabled = 0
# Shows current user sessions
[script://./bin/who.sh]
sourcetype = who
source = who
interval = 150
index = os
disabled = 1
# Lists users who could login (i.e., they are assigned a login shell)
[script://./bin/usersWithLoginPrivs.sh]
sourcetype = usersWithLoginPrivs
source = usersWithLoginPrivs
interval = 3600
index = os
disabled = 1
# Shows last login time for users who have ever logged in
[script://./bin/lastlog.sh]
sourcetype = lastlog
source = lastlog
interval = 300
index = os
disabled = 0
# Shows stats per link-level Etherner interface (simply, NIC)
[script://./bin/interfaces.sh]
sourcetype = interfaces
source = interfaces
interval = 60
index = os
disabled = 0
# Shows stats per CPU (useful for SMP machines)
[script://./bin/cpu.sh]
sourcetype = cpu
source = cpu
interval = 30
index = os
disabled = 0
# This script reads the auditd logs translated with ausearch
[script://./bin/rlog.sh]
sourcetype = auditd
source = auditd
interval = 60
index = os
disabled = 1
# Run package management tool collect installed packages
[script://./bin/package.sh]
sourcetype = package
source = package
interval = 3600
index = os
disabled = 0
[script://./bin/hardware.sh]
sourcetype = hardware
source = hardware
interval = 36000
index = os
disabled = 0

被监控端重启服务  
保存文件后，需要重新启动splunk forwarder 服务。

# /opt/splunkforwarder/bin/splunk restart

如果你的配置一切正常，你会在http://splunk.uplooking.com:8000上，“*NIX
4.6”应用页上看到“主机”部分新增了“web”服务器。

在“CPU by Host”标签页中，将看到两台主机cpu数据信息如下图示：

在“Memory by Host”标签页中，我们将看到两台主机内存数据信息如下图示