什么是Splunk
Splunk 是机器数据的全文搜索引擎。
机器数据是指:设备和软件产生的日志数据、性能数据、网络数据包。
这些数据都是一些非结构化的数据,我们可以统一将这些数据统一采集到splunk之后,splunk可以对这些数据进行索引、调查、监控、可视化等。
使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。
Splunk特点
- 1、面向机器数据的全文搜索引擎;(使用搜索引擎的方式处理数据;支持海量级数据处理)
- 2、准实时的日志处理平台;
- 3、基于时间序列的索引器;
- 4、大数据分析平台;一体化的平台:数据采集->存储->分析->可视化;
- 5、通用的搜索引擎,不限数据源,不限数据格式;
- 6、提供荣获专利的专用搜索语言SPL(Search Processing Language),语法上类似SQL语言
- 7、Splunk Apps 提供更多功能(针对操作系统、思科网络设备,splunk都提供了专用的APP,接入数据源都可以看到直观的仪盘表。)
下面介绍CentOS7.9 下安装部署Splunk8.0.5企业版
1、下载splunk Linux RPM版安装包
你需要注册一个splunk账号来下载 下载地址
https://www.splunk.com/en_us/download/splunk-enterprise.html#tabs/linux
最新版本为Splunk Enterprise 8.2.1
这里我选择Older Releases
找到8.0.5的rpm安装包
https://download.splunk.com/products/splunk/releases/8.0.5/linux/splunk-8.0.5-a1a6394cc5ae-linux-2.
2、上传并安装
SFTP方式上传
rpm -ivh rpm -ivh splunk-8.0.5-a1a6394cc5ae-linux-2.6-x86_64.rpm
3、patch工具
chmod 755 splunk-805-linux-patch-sysin.org.bin ./splunk-805-linux-patch-sysin.org.bin
4、启动splunk
cd /opt/splunk/ ./splunk start
按向导进行配置
最后防火墙放开8000端口
firewall-cmd --permanent --zone=public --add-port=8000/tcp firewall-cmd --reload
5、登录splunk
可以看到集成 100T 许可
6、导入文本型日志
例如我导入某Linux服务器/var/log/secure系统安全日志
7、测试添加UDP syslog的日志数据
8、搜索功能
支持钻取搜索
当然Splunk的功能相当强大,上面只是简单试用,后续再有机会再研究
