Splunk 是利用收集機房設備的紀錄檔 (Log),藉此監控機房內系統、設備的狀況,只要是能產生紀錄檔,Splunk 皆能分析處理,並於儀表板 (Dashboard) 顯示,且能快速地建置搜尋用的快速索引 (Index)。Splunk 除了能集中化監控設備發生的事件,並作為 Log Server,記錄所有事先定義好的事件,並依照設定的時間範圍產生觀看的報表。
簡單架構示意圖
看文架構圖 ~~~ 接下來,準備進行實作
1. Server 安裝 設定
點選「Check This Box....」接受授權合約
進行安裝..跑啊跑
安裝完畢
2. Splunk Server 安裝完畢,瀏覽 Web Conosle 要開啟 Windows 防火牆 TCP 8000、TCP 9997 通訊埠。
點選「進階設定」
新增「輸入規則」
選擇「控制 TCP 或 UDP 連線埠之連線的規則」
選擇「TCP」協定,輸入「通訊埠」(8000,9997)
點選「允許連線」
勾選「網域、私人、公用」
輸入「名稱」
Windows Firewall 建立完成
3. 設定「Web Console」需要接收「Log」通訊埠。
登入「Web Console」=>「設定」=>「傳送與接收」=> 「設定接收」=> 新增「在此連接埠上監聽」通訊埠。
PS
預設「TCP 9997」
開啟「IE」輸入「網址」( http://IP:8000 )
第一次登入 輸入 預設「帳號」 和 「密碼」
登入 Splunk 主畫面,點選「設定」=>「傳送與接收」
「接收資料」功能,點選「新增」
輸入「9997」,Splunk 接收端 通訊埠 是可以任意設定,只要不與現行環境衝突即可。
設定完成
4. 建立「索引值」=> 新增「wineventlog」
PS
索引值是依照「Client Splunk Agent」端路徑「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf」=> 「index = wineventlog」
點選「設定」=>「索引」
點選「新增」
輸入「wineventlog」,接收 Windows Event Log 索引值。
5. Windows Clinet 設定
安裝「Splunk-Agent」指向「Splunk Server」以及「通訊埠」
PS
使用「自定義安裝」
勾選「Check this box....」,點選「Customize Options」
預設「下一步」
預設「下一步」
選擇「Local System」
勾選「 Windows Log」項目,那些需要丟往「Splunk Server」
選擇「Install the Splunk Add-on....」
Deployment Server : 指向「Splunk Server IP」
PS
當您的架構很龐大有許多機器需要修改 Splunk Agent 設定,可以透過此功能,指向「Splunk Server」,記得「Splunk Server」要設定防火牆 ,預設「TCP 8089」。
Receiving Server: 指向「Splunk Server IP」
PS
將「Log」丟往「Splunk Server」,預設「TCP 9997」。
點選「Install」
Splunk Agent 安裝完畢
「Win+R」=>「Control Admintools」=>「本機安全性原則」=>「本機原則」=>「稽核原則」=> 選擇「稽核項目」,勾選「成功」或「失敗」。
5. 登入「Splunk Web Console」檢查「Windows Log」
登入「Splunk Web Conosle」=>「Search & Reporting」
輸入「index="wineventlog"」
點選「Host」
就會看到「Event Log」報到「主機」名稱,Window Log 也會轉送到「Splunk Server」
======================================================
如何檢查「Splunk-Agent」是/否 設定成功 並 指向 Splunk Server
登入管理員「cmd」
「cd C:\Program Files\SplunkUniversalForwarder\bin」
「splunk list forward-server」
======================================
如何刪除「Splunk」應用套件。
1. 直接到「C:\Program Files\Splunk\var\lib\splunk\wineventlog」刪除「目錄套件」名稱
2. 重啟「Splunkd Service」服務。
======================================
PS
使用「網路設備」或「防火牆設備」直接丟「Log」,請使用「設定」=>「資料輸入」。
使用「Windows」或「Linux」需要安裝「Splunk Forwarder Agent」,請使用「設定」=>「傳送與接收」。
簡單架構示意圖
1. Server 安裝 設定
點選「Check This Box....」接受授權合約
進行安裝..跑啊跑
安裝完畢
2. Splunk Server 安裝完畢,瀏覽 Web Conosle 要開啟 Windows 防火牆 TCP 8000、TCP 9997 通訊埠。
點選「進階設定」
新增「輸入規則」
選擇「控制 TCP 或 UDP 連線埠之連線的規則」
選擇「TCP」協定,輸入「通訊埠」(8000,9997)
點選「允許連線」
勾選「網域、私人、公用」
輸入「名稱」
Windows Firewall 建立完成
3. 設定「Web Console」需要接收「Log」通訊埠。
登入「Web Console」=>「設定」=>「傳送與接收」=> 「設定接收」=> 新增「在此連接埠上監聽」通訊埠。
PS
預設「TCP 9997」
開啟「IE」輸入「網址」( http://IP:8000 )
第一次登入 輸入 預設「帳號」 和 「密碼」
登入 Splunk 主畫面,點選「設定」=>「傳送與接收」
「接收資料」功能,點選「新增」
輸入「9997」,Splunk 接收端 通訊埠 是可以任意設定,只要不與現行環境衝突即可。
設定完成
4. 建立「索引值」=> 新增「wineventlog」
PS
索引值是依照「Client Splunk Agent」端路徑「C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf」=> 「index = wineventlog」
點選「設定」=>「索引」
點選「新增」
輸入「wineventlog」,接收 Windows Event Log 索引值。
5. Windows Clinet 設定
安裝「Splunk-Agent」指向「Splunk Server」以及「通訊埠」
PS
使用「自定義安裝」
勾選「Check this box....」,點選「Customize Options」
預設「下一步」
預設「下一步」
選擇「Local System」
勾選「 Windows Log」項目,那些需要丟往「Splunk Server」
選擇「Install the Splunk Add-on....」
Deployment Server : 指向「Splunk Server IP」
PS
當您的架構很龐大有許多機器需要修改 Splunk Agent 設定,可以透過此功能,指向「Splunk Server」,記得「Splunk Server」要設定防火牆 ,預設「TCP 8089」。
Receiving Server: 指向「Splunk Server IP」
PS
將「Log」丟往「Splunk Server」,預設「TCP 9997」。
點選「Install」
Splunk Agent 安裝完畢
4. 啟用「稽核原則」
PS「Win+R」=>「Control Admintools」=>「本機安全性原則」=>「本機原則」=>「稽核原則」=> 選擇「稽核項目」,勾選「成功」或「失敗」。
5. 登入「Splunk Web Console」檢查「Windows Log」
登入「Splunk Web Conosle」=>「Search & Reporting」
輸入「index="wineventlog"」
點選「Host」
就會看到「Event Log」報到「主機」名稱,Window Log 也會轉送到「Splunk Server」
======================================================
如何檢查「Splunk-Agent」是/否 設定成功 並 指向 Splunk Server
登入管理員「cmd」
「cd C:\Program Files\SplunkUniversalForwarder\bin」
「splunk list forward-server」
======================================
如何刪除「Splunk」應用套件。
1. 直接到「C:\Program Files\Splunk\var\lib\splunk\wineventlog」刪除「目錄套件」名稱
2. 重啟「Splunkd Service」服務。
======================================
PS
使用「網路設備」或「防火牆設備」直接丟「Log」,請使用「設定」=>「資料輸入」。
使用「Windows」或「Linux」需要安裝「Splunk Forwarder Agent」,請使用「設定」=>「傳送與接收」。
請問,如果想要重新設定 Windows Log 要丟的項目,請問有什麼辦法嗎
回覆刪除參考此篇文章
回覆刪除S小魚仔S-「停止轉送不需要 Windows Event Log 送往 Splunk Log Server」。
請問您如果要設多台Windows Server 能讓Splunk接收到Windows event log 。是否每台都要裝
回覆刪除splunk universal forwarder agent??
必須安裝「splunk universal forwarder agent」如果您的主機數量非常多,建議採用「自動化佈署工具」如「ansible」或「套裝商業產品」。
回覆刪除