Table of Contents 欢 迎 使 用 Splunk Enterprise 管 理 如 何 使 用 本 手 册 Splunk 管 理 : 更 多 内 容 Splunk 管 理 员 的 其 他 手 册 Windows 管 理 员 简 介 关 于 Splunk Free 在 *nix 和 W

Transcription

1 Splunk Enterprise 管 理 员 手 册 生 成 时 间 :2016 年 3 月 29 日,12:36 Copyright (c) 2016 Splunk Inc. All Rights Reserved

2 Table of Contents 欢 迎 使 用 Splunk Enterprise 管 理 如 何 使 用 本 手 册 Splunk 管 理 : 更 多 内 容 Splunk 管 理 员 的 其 他 手 册 Windows 管 理 员 简 介 关 于 Splunk Free 在 *nix 和 Windows 上 运 行 Splunk 的 差 异 配 置 Splunk 的 方 法 在 Windows 上 充 分 利 用 Splunk Enterprise 在 Windows 上 部 署 Splunk 优 化 Splunk 以 获 得 高 性 能 在 系 统 映 像 上 加 入 Splunk 将 通 用 转 发 器 集 成 到 系 统 映 像 中 将 完 整 Splunk 集 成 到 系 统 映 像 中 使 用 Splunk Web 管 理 Splunk Enterprise 启 动 Splunk Web Splunk Web 管 理 任 务 Splunk Enterprise 默 认 仪 表 板 自 定 义 Splunk Web 横 幅 消 息 配 合 使 用 Splunk Web 与 代 理 服 务 器 使 用 配 置 文 件 管 理 Splunk Enterprise 关 于 配 置 文 件 配 置 文 件 目 录 配 置 文 件 结 构 配 置 文 件 优 先 顺 序 单 个 props.conf 文 件 中 的 属 性 优 先 顺 序 如 何 复 制 和 编 辑 配 置 文 件 更 改 配 置 文 件 之 后 何 时 重 新 启 动 Splunk Enterprise 配 置 文 件 列 表 配 置 参 数 和 数 据 管 道 备 份 配 置 信 息 使 用 命 令 行 界 面 (CLI) 管 理 Splunk Enterprise 关 于 CLI 获 取 CLI 相 关 帮 助 CLI 管 理 命 令 使 用 CLI 来 管 理 远 程 Splunk 服 务 器 自 定 义 CLI 登 录 横 幅

3 启 动 Splunk Enterprise 并 执 行 初 始 任 务 启 动 和 停 止 Splunk Enterprise 配 置 Splunk 在 开 机 时 启 动 安 装 您 的 许 可 证 更 改 默 认 值 将 Splunk 绑 定 到 某 个 IP 配 置 Splunk 以 使 用 IPv6 确 保 配 置 安 全 配 置 Splunk 许 可 证 Splunk Enterprise 许 可 授 权 如 何 运 作 Splunk 软 件 许 可 证 类 型 组 堆 叠 池 和 其 他 术 语 安 装 许 可 证 配 置 许 可 证 主 服 务 器 配 置 许 可 证 从 服 务 器 创 建 或 编 辑 许 可 证 池 向 许 可 证 池 添 加 索 引 器 从 CLI 管 理 许 可 证 管 理 Splunk 许 可 证 管 理 许 可 证 关 于 许 可 证 违 规 交 换 许 可 证 主 服 务 器 许 可 证 使 用 情 况 报 表 视 图 关 于 Splunk Enterprise 的 许 可 证 使 用 情 况 报 表 视 图 使 用 许 可 证 使 用 情 况 报 表 视 图 管 理 应 用 键 值 存 储 有 关 应 用 键 值 存 储 备 份 KV 存 储 认 识 Splunk 应 用 应 用 和 加 载 项 搜 索 和 报 表 应 用 配 置 在 应 用 中 打 开 的 Splunk Web 从 哪 里 获 得 更 多 应 用 和 加 载 项 应 用 部 署 概 述 应 用 架 构 和 对 象 所 有 权 管 理 应 用 和 加 载 项 对 象 管 理 应 用 和 加 载 项 配 置 及 属 性 认 识 Hunk 认 识 Hunk 管 理 用 户

4 关 于 用 户 和 角 色 配 置 用 户 语 言 和 区 域 设 置 配 置 用 户 会 话 超 时 配 置 文 件 配 置 文 件 参 考 alert_actions.conf app.conf audit.conf authentication.conf authorize.conf collections.conf commands.conf crawl.conf datamodels.conf datatypesbnf.conf default.meta.conf default-mode.conf deployment.conf deploymentclient.conf distsearch.conf eventdiscoverer.conf event_renderers.conf eventtypes.conf fields.conf indexes.conf inputs.conf instance.cfg.conf limits.conf literals.conf macros.conf multikv.conf outputs.conf passwords.conf pdf_server.conf procmon-filters.conf props.conf pubsub.conf restmap.conf savedsearches.conf searchbnf.conf segmenters.conf server.conf serverclass.conf serverclass.seed.xml.conf setup.xml.conf source-classifier.conf sourcetypes.conf

5 splunk-launch.conf tags.conf times.conf transactiontypes.conf transforms.conf ui-prefs.conf ui-tour.conf user-prefs.conf user-seed.conf viewstates.conf visualizations.conf web.conf wmi.conf workflow_actions.conf

6 欢 迎 使 用 Splunk Enterprise 管 理 如 何 使 用 本 手 册 本 手 册 提 供 不 同 Splunk 管 理 方 法 的 相 关 信 息 它 还 为 您 介 绍 Windows 和 *nix 的 一 些 初 始 管 理 任 务 注 意 : 除 非 另 有 说 明, 否 则 本 手 册 中 的 任 务 和 过 程 对 Windows 和 *nix 操 作 系 统 均 适 用 有 关 Splunk 管 理 过 程 更 多 内 容 的 概 述, 包 括 本 手 册 中 未 介 绍 的 任 务 ( 如 设 置 用 户 或 数 据 以 及 安 全 性 配 置 ), 请 参 阅 本 手 册 中 的 Splunk 管 理 : 更 多 内 容 有 关 可 供 Splunk 用 户 使 用 的 其 他 手 册 的 列 表 和 简 单 描 述, 请 参 阅 Splunk 管 理 员 的 其 他 手 册 使 用 管 理 员 手 册 可 以 执 行 的 操 作 任 务 : 查 看 此 处 : 启 动 Splunk 并 进 行 一 些 初 始 配 置 使 用 Splunk Web 配 置 和 管 理 Splunk 使 用 配 置 文 件 配 置 和 管 理 Splunk 使 用 Splunk 命 令 行 界 面 (CLI) 配 置 和 管 理 Splunk 在 Windows 上 优 化 Splunk 了 解 Splunk 许 可 证 熟 悉 Splunk 应 用 开 始 使 用 Splunk 所 需 执 行 的 全 部 操 作, 从 启 动 Splunk 和 安 装 许 可 证 到 将 Splunk 绑 定 至 IP 有 关 更 多 信 息, 请 参 阅 : 如 何 开 始 Splunk Web 的 概 述 以 及 如 何 使 用 它 来 管 理 Splunk 有 关 更 多 信 息, 请 参 阅 使 用 Splunk Web 在 何 处 能 够 找 到 配 置 文 件 如 何 创 建 和 编 辑 它 们, 以 及 关 于 文 件 优 先 顺 序 的 一 些 重 要 内 容 请 参 阅 关 于 配 置 文 件 开 始 操 作 如 何 使 用 命 令 行 界 面 配 置 Splunk 的 概 述 有 关 更 多 信 息, 请 参 阅 关 于 CLI 使 用 Splunk 时 您 应 了 解 的 一 些 Windows 特 定 的 事 项, 包 括 最 佳 部 署 的 一 些 提 示 以 及 使 用 系 统 映 像 的 相 关 信 息 有 关 更 多 信 息, 请 参 阅 Windows 管 理 员 简 介 安 装 许 可 证, 然 后 转 到 此 处 了 解 有 关 Splunk 许 可 证 的 所 有 必 要 信 息 : 管 理 Splunk 许 可 证 以 获 得 更 多 信 息 Splunk 应 用 的 简 介 和 概 述 以 及 如 何 将 其 集 成 到 Splunk 配 置 中 有 关 更 多 信 息, 请 参 阅 认 识 Splunk 应 用 管 理 用 户 设 置 管 理 用 户 这 一 章 向 您 介 绍 如 何 管 理 用 户 设 置 有 关 创 建 用 户 的 更 多 信 息, 请 参 阅 确 保 Splunk Enterprise 安 全 手 册 中 用 户 和 基 于 角 色 的 访 问 控 制 Splunk 管 理 : 更 多 内 容 管 理 员 手 册 提 供 初 始 管 理 任 务 以 及 可 用 于 管 理 Splunk Enterprise 的 不 同 方 法 的 信 息 有 关 如 何 使 用 管 理 员 手 册 的 更 多 特 定 概 述, 请 参 阅 如 何 使 用 本 手 册 下 面 是 初 始 配 置 之 后 您 可 能 要 执 行 的 管 理 任 务 以 及 在 何 处 了 解 更 多 信 息 任 务 : 查 看 此 处 : 执 行 备 份 备 份 配 置 信 息 备 份 索 引 数 据 设 置 退 休 和 归 档 策 略 定 义 告 警 告 警 手 册 管 理 搜 索 任 务 使 用 任 务 页 面 管 理 任 务 有 关 更 多 管 理 帮 助 的 信 息, 请 参 阅 下 方 介 绍 的 手 册 安 装 和 升 级 Splunk 安 装 手 册 介 绍 如 何 安 装 和 升 级 Splunk 要 获 得 特 定 任 务 相 关 信 息, 先 从 此 处 开 始 6

7 任 务 : 查 看 此 处 : 了 解 安 装 要 求 预 估 硬 件 容 量 需 求 安 装 Splunk 升 级 Splunk 计 划 您 的 安 装 预 估 硬 件 需 求 在 Windows 上 安 装 Splunk 在 Unix Linux 或 MacOS 上 安 装 Splunk 从 早 期 版 本 升 级 将 数 据 导 入 Splunk 数 据 导 入 为 您 提 供 有 关 Splunk 数 据 导 入 的 信 息 : 如 何 使 用 来 自 外 部 来 源 的 数 据, 以 及 如 何 增 强 数 据 价 值 任 务 : 查 看 此 处 : 了 解 如 何 使 用 外 部 数 据 配 置 文 件 和 目 录 输 入 配 置 络 输 入 配 置 Windows 输 入 配 置 其 他 输 入 增 强 您 的 数 据 值 查 看 您 的 数 据 在 建 立 索 引 后 的 显 示 效 果 过 程 改 善 如 何 将 数 据 导 入 Splunk 获 取 文 件 和 目 录 的 数 据 获 取 络 事 件 获 取 Windows 数 据 其 他 数 据 导 入 方 式 配 置 事 件 处 理 配 置 时 间 戳 配 置 索 引 字 段 提 取 配 置 主 机 值 配 置 来 源 类 型 管 理 事 件 分 段 使 用 查 找 和 工 作 流 动 作 预 览 您 的 数 据 改 善 数 据 输 入 过 程 管 理 索 引 和 索 引 器 管 理 索 引 器 和 群 集 告 诉 您 如 何 配 置 索 引 它 还 介 绍 了 如 何 管 理 维 护 索 引 的 组 件 : 索 引 器 和 索 引 器 群 集 任 务 : 查 看 此 处 : 了 解 索 引 管 理 索 引 管 理 索 引 存 储 备 份 索 引 归 档 索 引 了 解 群 集 和 索 引 复 制 部 署 群 集 配 置 群 集 管 理 群 集 了 解 群 集 架 构 索 引 概 述 管 理 索 引 管 理 索 引 存 储 备 份 索 引 数 据 设 置 退 休 和 归 档 策 略 关 于 群 集 和 索 引 复 制 部 署 群 集 配 置 群 集 管 理 群 集 群 集 如 何 工 作 扩 展 Splunk 分 布 式 部 署 手 册 介 绍 如 何 跨 多 个 组 件 ( 例 如, 转 发 器 索 引 器 和 搜 索 头 ) 来 分 散 Splunk 功 能 关 联 手 册 详 细 介 绍 分 布 式 组 件 : 转 发 数 据 手 册 介 绍 转 发 器 分 布 式 搜 索 手 册 介 绍 搜 索 头 更 新 Splunk 组 件 手 册 阐 述 如 何 使 用 部 署 服 务 器 和 转 发 器 管 理 来 管 理 您 的 部 署 任 务 : 查 看 此 处 : 7

8 了 解 分 布 式 Splunk 针 对 Splunk 部 署 执 行 容 量 规 划 了 解 如 何 转 发 数 据 跨 多 个 索 引 器 进 行 分 布 式 搜 索 更 新 部 署 分 布 式 Splunk 概 述 预 估 硬 件 需 求 转 发 数 据 跨 多 个 索 引 器 搜 索 在 您 的 环 境 中 部 署 配 置 更 新 确 保 Splunk 安 全 确 保 Splunk 安 全 告 诉 您 如 何 确 保 您 的 Splunk 部 署 的 安 全 任 务 : 查 看 此 处 : 验 证 用 户 和 编 辑 角 色 使 用 SSL 确 保 Splunk 数 据 安 全 审 计 Splunk 配 合 使 用 单 一 登 录 (SSO) 与 Splunk 配 合 使 用 Splunk 与 LDAP 用 户 和 基 于 角 色 的 访 问 控 制 安 全 验 证 和 加 密 审 计 Splunk 活 动 配 置 单 点 登 录 设 置 使 用 LDAP 进 行 的 用 户 验 证 Splunk 故 障 排 除 故 障 排 除 手 册 提 供 有 关 Splunk 故 障 排 除 的 总 体 指 导 此 外, 在 其 他 手 册 的 相 关 主 题 中 还 提 供 了 针 对 特 定 问 题 的 故 障 排 除 信 息 任 务 : 查 看 此 处 : 了 解 Splunk 故 障 排 除 工 具 了 解 Splunk 日 志 文 件 使 用 Splunk 支 持 解 决 常 见 问 题 初 始 步 骤 Splunk 日 志 文 件 联 系 Splunk 支 持 一 些 常 用 方 案 参 考 和 其 他 信 息 Splunk 文 档 会 包 含 一 些 有 用 的 参 考, 以 及 其 他 一 些 可 能 对 Splunk 管 理 员 有 帮 助 的 信 息 来 源 参 考 : 查 看 此 处 : 配 置 文 件 参 考 管 理 员 手 册 中 的 配 置 文 件 参 考 REST API 参 考 REST API 参 考 手 册 CLI 帮 助 版 本 信 息 有 关 如 何 管 理 Splunk 知 识 的 信 息 在 Splunk 的 安 装 实 例 中 提 供 有 关 如 何 调 用 它 的 详 细 信 息, 请 阅 读 管 理 员 手 册 中 的 获 取 CLI 帮 助 发 行 说 明 知 识 管 理 器 手 册 Splunk 管 理 员 的 其 他 手 册 该 管 理 员 手 册 是 专 为 Splunk Enterprise 管 理 员 提 供 重 要 信 息 和 程 序 的 本 书 籍 中 的 其 中 一 本 但 它 仅 介 绍 您 使 用 Splunk Enterprise 可 以 执 行 的 一 些 基 本 操 作 如 果 您 需 要 配 置 运 行 和 维 护 Splunk Enterprise, 将 其 作 为 服 务 提 供 给 您 自 己 或 其 他 用 户 使 用, 请 先 阅 读 这 本 手 册 然 后, 您 可 以 阅 读 其 他 手 册 以 获 得 有 关 Splunk Enterprise 管 理 特 定 领 域 的 详 细 信 息 : 手 册 涵 盖 内 容 重 要 主 题 领 域 数 据 导 入 指 定 数 据 导 入 和 改 善 Splunk 数 据 处 理 方 式 如 何 将 数 据 导 入 Splunk 配 置 事 件 处 理 预 览 您 的 数 据 8

9 管 理 索 引 器 和 群 集 管 理 Splunk 索 引 器 和 索 引 器 群 集 关 于 索 引 和 索 引 器 管 理 索 引 备 份 和 归 档 您 的 索 引 关 于 群 集 和 索 引 复 制 部 署 群 集 分 布 式 部 署 扩 展 部 署 以 适 应 您 所 在 企 业 的 需 求 分 布 式 Splunk 概 述 转 发 数 据 将 数 据 转 发 到 Splunk 中 转 发 数 据 分 布 式 搜 索 使 用 搜 索 头 跨 多 个 索 引 器 进 行 分 布 式 搜 索 跨 多 个 索 引 器 搜 索 更 新 Splunk 组 件 确 保 Splunk 安 全 分 布 式 管 理 控 制 台 使 用 部 署 服 务 器 和 转 发 器 管 理 来 更 新 Splunk 组 件, 如 转 发 器 和 索 引 器 数 据 安 全 和 用 户 验 证 监 视 Splunk Enterprise 部 署 并 排 除 故 障 在 您 的 环 境 中 部 署 更 新 用 户 验 证 和 角 色 使 用 SSL 加 密 和 验 证 审 计 关 于 分 布 式 管 理 控 制 台 故 障 排 除 解 决 问 题 初 始 步 骤 Splunk 日 志 文 件 一 些 常 用 方 案 安 装 安 装 和 升 级 Splunk 系 统 要 求 分 步 安 装 程 序 从 早 期 版 本 升 级 主 题 学 习 管 理 Splunk 会 提 供 有 关 从 哪 里 阅 读 特 定 管 理 任 务 的 更 详 细 指 导 信 息 Splunk 管 理 员 感 兴 趣 的 其 他 书 籍 除 了 介 绍 主 要 管 理 任 务 的 手 册 以 外, 您 有 时 可 能 需 要 阅 读 其 他 手 册, 具 体 取 决 于 Splunk Enterprise 安 装 大 小 和 您 的 职 责 范 围 这 些 是 Splunk Enterprise 核 心 文 档 集 的 其 他 手 册 : 搜 索 教 程 该 手 册 向 您 介 绍 如 何 使 用 Splunk 进 行 搜 索 知 识 管 理 器 该 手 册 会 介 绍 如 何 管 理 Splunk 知 识 对 象, 例 如 事 件 类 型 标 记 查 找 字 段 提 取 工 作 流 动 作 保 存 的 搜 索 和 视 图 告 警 该 手 册 介 绍 Splunk 的 告 警 和 监 视 功 能 数 据 可 视 化 该 手 册 介 绍 Splunk 提 供 的 一 系 列 可 视 化 搜 索 手 册 该 手 册 告 诉 您 如 何 搜 索 和 使 用 Splunk 搜 索 语 言 搜 索 参 考 该 参 考 包 含 Splunk 搜 索 命 令 的 详 细 目 录 开 发 用 于 Splunk Web 的 视 图 和 应 用 该 手 册 介 绍 如 何 使 用 高 级 XML 来 开 发 视 图 和 应 用 它 还 包 含 其 他 开 发 人 员 主 题, 例 如 自 定 义 脚 本 和 扩 展 Splunk REST API 参 考 该 手 册 提 供 了 所 有 可 公 开 访 问 的 REST API 端 点 信 息 发 行 说 明 在 这 里 可 以 找 到 有 关 新 功 能 已 知 问 题 和 已 修 复 问 题 的 信 息 更 详 细 的 Splunk 文 档 要 获 得 全 部 Splunk Enterprise 文 档 链 接, 包 括 以 上 列 出 的 手 册, 请 访 问 :Splunk Enterprise 文 档 要 访 问 所 有 Splunk 文 档, 包 括 应 用 的 手 册, 请 前 往 此 页 面 : 欢 迎 使 用 Splunk 文 档 制 作 PDF 如 果 您 需 要 本 手 册 的 PDF 版 本, 请 单 击 本 页 左 侧 目 录 下 方 的 红 色 链 接 将 管 理 员 手 册 下 载 为 PDF 即 会 为 您 动 态 生 成 手 册 的 PDF 版 本 您 可 以 将 其 保 存 或 打 印 出 来 以 便 之 后 阅 读 Windows 管 理 员 简 介 欢 迎 使 用! Splunk 是 一 款 功 能 强 大 高 效 的 工 具, 它 可 以 帮 助 Windows 管 理 员 解 决 在 Windows 络 上 出 现 的 问 题 它 提 供 了 即 装 即 用 的 功 能 集, 使 其 成 为 Windows 管 理 员 工 具 箱 内 的 秘 密 武 器 它 可 以 通 过 添 加 应 用 来 增 加 自 身 功 能, 因 此 使 其 具 有 更 高 的 可 扩 展 性 此 外, 它 还 拥 有 一 个 不 断 扩 大 兴 旺 的 用 户 社 区 Windows 用 户 如 何 使 用 本 手 册 9

10 本 手 册 包 括 多 个 主 题, 以 帮 助 您 试 验 学 习 部 署 和 充 分 利 用 Splunk 除 非 另 外 指 定, 否 则 本 手 册 中 的 信 息 对 Windows 和 *nix 用 户 均 有 所 帮 助 如 果 您 不 熟 悉 Windows 或 *nix 操 作 命 令, 强 烈 建 议 您 查 阅 在 *nix 和 Windows 上 运 行 Splunk 的 差 异 在 在 Windows 上 充 分 利 用 Splunk 一 章 中, 我 们 还 提 供 了 一 些 额 外 信 息 本 章 适 用 于 Windows 用 户, 可 帮 助 您 充 分 利 用 Splunk, 其 中 包 括 下 列 信 息 在 Windows 上 部 署 Splunk 提 供 专 用 于 Windows 用 户 的 一 些 注 意 事 项 和 准 备 工 作 本 主 题 在 计 划 部 署 时 使 用 优 化 Splunk 以 获 得 高 性 能 介 绍 在 部 署 期 间 或 部 署 完 成 之 后 确 保 Splunk 能 够 在 Windows 部 署 上 正 常 运 行 的 方 法 在 系 统 映 像 上 加 入 Splunk 帮 助 您 使 Splunk 成 为 每 个 Windows 系 统 映 像 或 安 装 过 程 的 一 部 分 在 此 处, 您 可 以 找 到 用 于 将 Splunk 和 Splunk 转 发 器 安 装 到 系 统 映 像 上 的 任 务 相 关 信 息 以 下 是 其 他 Splunk 手 册 中 所 涉 及 的 一 些 其 他 Windows 主 题 : 有 关 所 有 已 安 装 的 Splunk for Windows 服 务 的 概 述 ( 来 自 安 装 手 册 ) Splunk 可 以 监 视 什 么 ( 来 自 数 据 导 入 手 册 ) 有 关 确 定 如 何 监 视 远 程 Windows 数 据 的 注 意 事 项 ( 来 自 数 据 导 入 手 册 ) 阅 读 该 主 题 以 获 得 有 关 如 何 从 多 个 计 算 机 远 程 获 取 数 据 的 重 要 信 息 合 并 来 自 多 个 计 算 机 的 数 据 ( 来 自 转 发 数 据 手 册 ) 其 他 有 用 的 信 息 : 我 的 数 据 位 于 何 处?( 来 自 数 据 导 入 手 册 ) 使 用 Splunk 的 命 令 行 界 面 (CLI)( 来 自 数 据 导 入 手 册 ) 来 源 来 源 类 型 和 字 段 ( 来 自 数 据 导 入 手 册 ) 字 段 和 字 段 提 取 ( 来 自 知 识 管 理 器 手 册 ) 实 时 搜 索 ( 来 自 用 户 手 册 ) 保 存 的 搜 索 ( 来 自 用 户 手 册 ) 仪 表 板 创 建 ( 来 自 用 户 手 册 ) 当 您 需 要 帮 助 时 如 果 您 打 算 深 入 了 解 Splunk 知 识, 我 们 提 供 有 大 量 的 教 育 课 程 如 果 您 在 使 用 过 程 中 遭 遇 困 难,Splunk 拥 有 庞 大 免 费 的 支 持 基 础 设 施 向 您 提 供 帮 助 : Splunk Answers Splunk 维 基 社 区 Splunk Internet Relay Chat (IRC) 通 道 (EFNet splunk) ( 需 要 IRC 客 户 端 ) 如 果 您 的 问 题 仍 然 未 能 解 决, 您 可 以 联 系 Splunk 的 支 持 团 队 在 联 系 支 持 页 面 上 会 提 供 具 体 的 做 法 注 意 : 社 区 级 别 以 上 的 支 持 级 别 需 要 具 备 Enterprise 许 可 证 要 获 得 此 许 可 证, 您 需 要 联 系 我 们 的 销 售 团 队 关 于 Splunk Free Splunk Free 是 完 全 免 费 的 Splunk 版 本 Free 许 可 证 使 您 可 以 每 天 最 多 对 500 MB 数 据 建 立 索 引 而 不 会 过 期 500 MB 的 限 制 指 每 天 您 可 以 添 加 ( 我 们 称 之 为 索 引 ) 的 新 数 据, 但 您 可 以 每 天 添 加 数 据, 想 要 存 储 多 少 就 存 储 多 少 例 如, 您 可 以 每 天 添 加 500 MB 数 据, 并 逐 渐 地 在 Splunk Enterprise 中 存 储 10 TB 数 据 如 果 您 每 天 需 要 多 于 500 MB 的 数 据, 则 需 要 购 买 Enterprise 许 可 证 有 关 许 可 授 权 的 更 多 信 息, 请 参 阅 Splunk 许 可 授 权 如 何 运 作 Splunk Free 通 过 追 踪 许 可 证 违 规 来 规 范 您 的 许 可 证 使 用 情 况 如 果 您 在 30 天 周 期 内 有 3 次 超 过 500 MB/ 天,Splunk Free 会 继 续 对 您 的 数 据 建 立 索 引, 但 搜 索 功 能 会 禁 用, 直 到 您 在 30 天 周 期 内 得 到 的 警 告 次 数 下 降 到 3 次 或 更 少 Splunk Free 是 否 适 合 您? Splunk Free 专 门 供 个 人 用 户 对 IT 数 据 执 行 特 殊 搜 索 和 可 视 化 您 可 以 持 续 使 用 Splunk Free 来 对 少 量 数 据 (< 500 MB/ 天 ) 建 立 索 引 此 外, 您 可 以 使 用 它 来 短 期 批 量 加 载 和 分 析 大 型 数 据 集 - Splunk Free 使 您 可 以 在 30 天 周 期 内 最 多 批 量 加 载 3 次 大 型 数 据 集 这 对 于 大 型 数 据 集 的 取 证 分 析 非 常 有 用 10

11 Splunk Free 中 包 含 什 么? Splunk Free 是 一 款 单 用 户 产 品 它 支 持 Splunk Enterprise 的 所 有 功 能, 例 外 情 况 如 下 : 分 布 式 搜 索 配 置 ( 包 括 搜 索 头 群 集 化 ) 不 可 用 不 能 以 TCP/HTTP 格 式 转 发 这 意 味 着 您 可 以 向 其 他 Splunk 实 例 转 发 数 据, 但 不 能 向 非 Splunk 实 例 转 发 部 署 管 理 功 能 不 可 用 告 警 / 监 视 不 可 用 索 引 器 群 集 化 不 可 用 报 表 加 速 摘 要 不 可 用 尽 管 Splunk Free 实 例 可 以 用 作 转 发 器 ( 转 发 到 Splunk Enterprise 索 引 器 ), 但 它 不 能 作 为 部 署 服 务 器 的 客 户 端 当 使 用 Splunk Free 时 无 验 证 或 用 户 以 及 角 色 管 理 也 就 是 说 : 不 存 在 登 录 机 制 不 会 提 示 您 输 入 用 户 名 / 密 码, 通 过 命 令 行 或 浏 览 器 可 以 访 问 和 控 制 Splunk Free 的 所 有 方 面 所 有 访 问 均 被 视 为 与 管 理 员 用 户 同 等 只 有 一 个 角 色 ( 管 理 员 ), 并 且 无 法 配 置 您 无 法 添 加 更 多 角 色 或 创 建 用 户 帐 户 在 运 行 搜 索 时 将 针 对 所 有 公 共 索 引 'index=*' 不 支 持 如 用 户 配 额 每 个 搜 索 时 间 范 围 最 大 值 和 搜 索 过 滤 条 件 等 搜 索 限 制 功 能 系 统 被 禁 用 为 所 有 访 问 Splunk Free 的 用 户 启 用 全 部 可 用 操 作 从 Enterprise Trial 许 可 证 切 换 到 Free 当 您 首 次 下 载 并 安 装 Splunk 时, 您 将 自 动 采 用 Enterprise Trial 许 可 证 您 可 以 继 续 使 用 Enterprise Trial 许 可 证, 直 到 它 过 期, 也 可 以 立 即 切 换 到 Free 许 可 证, 这 都 取 决 于 您 的 需 求 切 换 到 Free 应 了 解 的 注 意 事 项 Splunk Enterprise Trial 为 您 提 供 了 许 多 在 Splunk Free 中 不 可 用 的 功 能 当 您 切 换 到 Free 时, 应 注 意 以 下 方 面 : 您 创 建 的 用 户 帐 户 或 角 色 将 不 再 起 作 用 任 何 连 接 到 实 例 的 用 户 将 自 动 以 'admin' 身 份 登 录 您 将 可 以 看 到 更 新 检 查, 但 不 再 显 示 登 录 屏 幕 任 何 由 'admin' 以 外 用 户 创 建 且 未 全 局 共 享 的 知 识 对 象 ( 如 事 件 类 型 交 易 或 来 源 类 型 定 义 ) 将 不 再 可 用 如 果 您 需 要 在 切 换 到 Splunk Free 之 后 继 续 使 用 这 些 知 识 对 象, 可 采 取 以 下 做 法 之 一 : 使 用 本 主 题 的 信 息, 在 切 换 之 前 使 用 Splunk Web 将 它 们 提 升 为 全 局 可 用 按 照 此 处 所 述 的 内 容 手 动 编 辑 它 们 所 在 的 配 置 文 件 以 提 升 它 们 您 已 定 义 的 告 警 将 不 再 触 发 / 有 效, 虽 然 您 仍 可 计 划 搜 索 运 行 用 于 仪 表 板 和 摘 要 索 引 您 将 不 再 从 Splunk 接 收 告 警 outputs.conf 中 以 TCP 或 HTTP 格 式 转 发 到 第 三 方 应 用 程 序 的 配 置 将 停 止 工 作 如 果 在 使 用 Enterprise Trial 许 可 证 时 尝 试 在 Splunk Web 中 进 行 上 述 配 置, 则 在 Free Splunk 中 将 会 警 告 您 上 述 限 制 如 何 切 换 到 Splunk Free? 如 果 您 目 前 有 Splunk Enterprise( 试 用 版 或 非 试 用 版 ), 您 可 以 等 待 Enterprise 许 可 证 到 期, 也 可 以 随 时 切 换 到 Free 许 可 证 要 切 换 到 Free 许 可 证 : 1. 以 具 有 管 理 员 权 限 的 用 户 身 份 登 录 到 Splunk Web, 然 后 导 航 至 设 置 > 许 可 授 权 2. 单 击 页 面 顶 部 的 更 改 许 可 证 组 3. 选 择 Free 许 可 证, 然 后 单 击 保 存 4. 将 提 示 您 重 新 启 动 11

12 在 *nix 和 Windows 上 运 行 Splunk 的 差 异 本 主 题 将 阐 明 当 Splunk 运 行 的 状 况 下, 您 在 *nix 和 Windows 操 作 系 统 上 会 遇 到 的 功 能 差 异 这 里 不 会 深 入 探 讨 到 技 术 性 的 比 较, 也 不 会 鼓 吹 或 偏 爱 任 何 操 作 系 统, 而 是 旨 在 说 明 在 不 同 操 作 系 统 特 定 的 Splunk 手 册 页 面 上 为 何 内 容 有 所 不 同 路 径 在 *nix 操 作 系 统 处 理 文 件 和 目 录 的 方 式 上 的 主 要 差 异, 就 是 在 路 径 名 中 用 于 分 隔 文 件 或 目 录 的 斜 线 类 型 有 所 不 同 *nix 系 统 使 用 正 斜 线 ("/") 另 一 方 面,Windows 使 用 反 斜 线 ("\") *nix 路 径 示 例 : /opt/splunk/bin/splunkd Windows 路 径 示 例 : C:\Program Files\Splunk\bin\splunkd.exe 环 境 变 量 另 一 项 差 异 是 这 两 种 操 作 系 统 在 环 境 变 量 表 示 上 有 所 不 同 两 种 操 作 系 统 均 采 用 各 自 的 方 法 暂 时 存 储 在 一 个 或 多 个 环 境 变 量 中 的 数 据 在 *nix 系 统 上, 这 是 通 过 在 环 境 变 量 名 称 之 前 加 上 美 元 符 号 ("$") 来 表 示, 例 如 : SPLUNK_HOME=/opt/splunk; export $SPLUNK_HOME 在 Windows 上 则 稍 微 有 点 不 同 您 需 要 使 用 百 分 号 ("%") 指 定 环 境 变 量 根 据 您 使 用 的 环 境 变 量 类 型, 您 可 能 需 要 将 一 个 或 两 个 百 分 号 放 在 环 境 变 量 名 称 之 前 或 名 称 的 两 侧 > set SPLUNK_HOME="C:\Program Files\Splunk" > echo %SPLUNK_HOME% C:\Program Files\Splunk > 要 在 Windows 环 境 中 设 置 %SPLUNK_HOME% 变 量, 您 可 以 采 用 以 下 两 种 方 法 之 一 : 编 辑 位 于 %SPLUNK_HOME%\etc 中 的 splunk-launch.conf 通 过 访 问 环 境 变 量 窗 口 来 设 置 变 量 打 开 资 源 管 理 器 窗 口, 在 左 窗 格 中 右 键 单 击 我 的 电 脑, 然 后 从 显 示 的 窗 口 中 选 择 属 性 在 出 现 系 统 属 性 窗 口 之 后, 选 择 高 级 选 项 卡, 然 后 单 击 标 签 窗 口 底 部 的 环 境 变 量 按 钮 配 置 文 件 Splunk Enterprise 与 使 用 ASCII/UTF-8 字 符 集 编 码 的 配 置 文 件 结 合 使 用 在 Windows 中 编 辑 配 置 文 件 时, 将 文 本 编 辑 器 配 置 为 利 用 此 编 码 写 文 件 在 一 些 Windows 版 本 中,UTF-8 不 是 默 认 字 符 集 编 码 请 参 阅 如 何 编 辑 配 置 文 件 配 置 Splunk 的 方 法 Splunk 在 一 组 配 置 文 件 中 维 护 配 置 信 息 您 可 以 使 用 以 下 任 一 ( 或 全 部 ) 方 法 配 置 Splunk: 使 用 Splunk Web 使 用 Splunk 的 命 令 行 界 面 (CLI) 命 令 直 接 编 辑 Splunk 的 配 置 文 件 使 用 通 过 Splunk REST API 来 更 新 配 置 的 应 用 设 置 屏 幕 上 述 所 有 方 法 都 更 改 基 本 配 置 文 件 的 内 容 在 不 同 情 况 下, 您 可 能 发 现 不 同 的 便 利 方 法 使 用 Splunk Web 您 可 以 在 Splunk Web 中 执 行 大 多 数 常 用 配 置 任 务 默 认 情 况 下,Splunk Web 在 安 装 该 Web 的 主 机 的 端 口 8000 上 运 行 : 如 果 在 本 地 计 算 机 上 运 行 Splunk, 则 访 问 Splunk Web 的 URL 是 如 果 在 远 程 计 算 机 上 运 行 Splunk, 则 访 问 Splunk Web 的 URL 是 其 中 <hostname> 是 运 行 Splunk 的 计 算 机 的 名 称 管 理 菜 单 可 在 Splunk Web 菜 单 栏 中 的 设 置 下 找 到 Splunk 文 档 集 中 介 绍 的 大 多 数 任 务 均 针 对 Splunk Web 有 关 12

13 Splunk Web 的 更 多 信 息, 请 参 阅 认 识 Splunk Web 编 辑 配 置 文 件 大 多 数 Splunk 配 置 信 息 存 储 在.conf 文 件 中 这 些 文 件 位 于 Splunk 安 装 目 录 ( 在 文 档 中 通 常 称 为 $SPLUNK_HOME) 下 的 /etc/system 下 在 大 多 数 情 况 下, 可 将 这 些 文 件 复 制 到 本 地 目 录 并 使 用 首 选 的 文 件 编 辑 器 对 其 进 行 更 改 在 开 始 编 辑 配 置 文 件 之 前, 请 阅 读 关 于 配 置 文 件 使 用 Splunk CLI 许 多 配 置 选 项 可 通 过 CLI 提 供 这 些 选 项 记 录 在 本 手 册 的 CLI 章 节 中 也 可 以 在 Splunk 运 行 时 使 用 help 命 令 来 获 取 CLI 帮 助 参 考 :./splunk help 有 关 CLI 的 更 多 信 息, 请 参 阅 本 手 册 中 的 关 于 CLI 如 果 您 不 熟 悉 CLI 命 令 或 在 Windows 环 境 下 工 作, 也 应 查 阅 在 *nix 和 Windows 上 运 行 Splunk 的 差 异 应 用 的 设 置 屏 幕 开 发 人 员 可 以 创 建 应 用 的 设 置 屏 幕, 允 许 用 户 设 置 此 应 用 的 配 置, 而 不 必 直 接 编 辑 配 置 文 件 利 用 设 置 屏 幕, 可 以 更 为 轻 松 地 将 应 用 分 布 到 不 同 的 环 境, 或 者 根 据 特 定 使 用 情 况 自 定 义 应 用 设 置 屏 幕 使 用 Splunk 的 REST API 来 管 理 应 用 的 配 置 文 件 有 关 设 置 屏 幕 的 更 多 信 息, 请 参 阅 开 发 用 于 Splunk Web 的 视 图 和 应 用 手 册 中 的 配 置 应 用 的 设 置 屏 幕 管 理 分 布 式 环 境 Splunk 部 署 服 务 器 为 分 布 式 环 境 提 供 集 中 管 理 和 配 置 您 可 以 使 用 它 将 配 置 文 件 集 或 其 他 内 容 部 署 到 覆 盖 整 个 企 业 的 Splunk 实 例 组 有 关 管 理 部 署 的 信 息, 请 参 阅 更 新 Splunk 组 件 手 册 在 Windows 上 充 分 利 用 Splunk Enterprise 在 Windows 上 部 署 Splunk 您 可 以 通 过 多 种 方 法 来 将 Splunk 集 成 到 您 的 Windows 环 境 中 本 主 题 介 绍 其 中 一 些 方 案, 并 提 供 了 有 关 如 何 确 保 Splunk for Windows 部 署 适 应 您 的 企 业 环 境 的 指 南 本 主 题 更 多 侧 重 于 在 Windows 环 境 中 部 署 Splunk, 即 使 您 将 其 集 成 到 Windows 企 业 环 境 中,Splunk 本 身 也 具 有 需 要 您 注 意 的 分 布 式 部 署 操 作 分 布 式 部 署 手 册 包 含 有 关 在 多 台 计 算 机 上 分 散 运 行 Splunk 服 务 的 大 量 信 息 当 大 规 模 地 在 Windows 上 部 署 Splunk 时, 您 可 以 完 全 依 赖 您 自 己 的 部 署 实 用 工 具 ( 如 System Center Configuration Manager 或 Tivoli/BigFix) 来 在 企 业 内 的 计 算 机 上 部 署 Splunk 及 其 配 置 或 者, 您 也 可 以 将 Splunk 集 成 到 系 统 映 像 中, 然 后 通 过 Splunk 的 部 署 服 务 器 来 部 署 Splunk 配 置 和 应 用 概 念 当 您 将 Splunk 部 署 到 您 的 Windows 络 中 时, 它 会 捕 获 来 自 计 算 机 的 数 据 并 集 中 存 储 一 旦 数 据 就 位 之 后, 您 就 可 以 针 对 已 建 立 索 引 的 数 据 来 执 行 搜 索 和 创 建 报 告 与 仪 表 板 等 对 于 系 统 管 理 员 而 言, 更 重 要 的 是, 当 数 据 到 达 时 Splunk 可 以 发 送 告 警 以 通 知 您 发 生 了 什 么 在 典 型 的 部 署 中, 您 可 以 将 某 些 硬 件 专 门 用 于 Splunk 建 立 索 引, 然 后 使 用 通 用 转 发 器 与 Windows Management Instrumentation (WMI) 的 组 合 集 合 来 自 企 业 内 其 他 计 算 机 的 数 据 注 意 事 项 在 Windows 企 业 环 境 中 部 署 Splunk 需 要 大 量 的 规 划 步 骤 首 先, 您 必 须 对 您 的 企 业 环 境 进 行 清 点, 从 物 理 络 开 始, 然 后 确 定 该 络 上 不 同 计 算 机 的 单 独 配 置 情 况 其 中 包 括 但 不 限 于 : 统 计 您 的 环 境 中 的 计 算 机 数 量, 并 确 定 其 中 需 要 安 装 Splunk 的 子 集 这 将 定 义 您 的 Splunk 拓 扑 结 构 的 初 始 框 架 13

14 计 算 您 的 络 带 宽, 包 括 主 要 站 点 和 任 何 远 程 或 外 部 站 点 的 带 宽 这 将 确 定 您 需 要 在 哪 里 安 装 您 的 主 Splunk 实 例, 以 及 在 哪 里 和 如 何 使 用 Splunk 转 发 器 评 估 您 的 络 当 前 的 运 行 状 况, 尤 其 是 络 分 隔 区 域 确 保 您 的 边 缘 路 由 器 和 交 换 机 工 作 正 常, 以 便 设 定 部 署 期 间 和 之 后 的 络 性 能 基 准 然 后, 您 必 须 在 开 始 部 署 之 前 回 答 众 多 问 题, 其 中 包 括 : 在 您 的 计 算 机 上 哪 些 数 据 需 要 建 立 索 引? 您 需 要 针 对 其 中 哪 部 分 数 据 执 行 搜 索 报 告 或 告 警? 这 可 能 是 最 需 要 认 真 考 虑 的 重 要 因 素 通 过 回 答 这 些 问 题, 您 将 确 定 如 何 解 决 其 他 需 要 注 意 的 每 个 问 题 它 可 以 确 定 在 哪 里 安 装 Splunk, 以 及 您 在 这 些 安 装 中 使 用 哪 种 类 型 的 Splunk 它 还 可 以 确 定 Splunk 可 能 使 用 多 少 计 算 能 力 和 络 带 宽 络 布 局 如 何? 所 有 外 部 站 点 的 链 路 配 置 如 何? 这 些 链 路 使 用 哪 种 安 全 性? 充 分 了 解 您 的 络 拓 扑 结 构, 有 助 于 确 定 您 需 要 在 哪 些 计 算 机 上 安 装 Splunk, 以 及 从 络 的 立 场 决 定 应 该 要 在 这 些 计 算 机 上 安 装 哪 种 类 型 的 Splunk( 索 引 器 或 转 发 器 ) 对 于 LAN 或 WAN 链 路 较 为 薄 弱 的 站 点, 有 必 要 考 虑 在 不 同 站 点 之 间 传 输 多 大 的 Splunk 数 据 量 例 如, 如 果 您 具 有 轴 幅 式 络, 即 一 个 中 心 站 点 连 接 到 多 个 分 支 站 点, 则 最 好 在 分 支 站 点 的 计 算 机 上 部 署 转 发 器, 以 向 每 个 分 支 站 点 内 的 一 个 中 间 转 发 器 发 送 数 据 然 后, 中 间 转 发 器 会 将 数 据 发 回 到 中 央 站 点 这 与 让 分 支 站 点 内 所 有 计 算 机 都 向 中 央 站 点 的 索 引 器 发 送 数 据 的 做 法 相 比 成 本 更 低 如 果 外 部 站 点 具 有 文 件 打 印 或 数 据 库 服 务, 则 您 还 需 要 考 虑 这 些 流 量 您 Active Directory (AD) 是 如 何 配 置 的? 在 您 的 域 控 制 器 (DC) 上 操 作 主 机 角 色 是 如 何 定 义 的? 所 有 域 控 制 器 是 否 位 于 中 央 站 点, 或 者 是 否 有 控 制 器 位 于 卫 星 站 点? 如 果 您 的 AD 为 分 布 式 结 构, 您 的 桥 头 服 务 器 是 否 配 置 正 确? 您 的 站 点 间 拓 扑 生 成 器 (ISTG) 角 色 的 服 务 器 是 否 工 作 正 常? 如 果 您 在 运 行 Windows Server 2008 R2, 那 么 在 分 支 站 点 内 是 否 设 有 只 读 域 控 制 器 (RODC)? 如 果 有, 则 需 要 考 虑 AD 复 制 流 量 以 及 Splunk 和 其 他 络 流 量 的 影 响 您 的 络 中 的 服 务 器 还 扮 演 其 他 哪 些 角 色?Splunk 索 引 器 需 要 资 源 来 保 持 高 性 能 运 行, 如 果 与 其 他 耗 费 资 源 型 应 用 程 序 或 服 务 ( 如 Microsoft Exchange SQL Server 乃 至 Active Directory 本 身 ) 共 享 服 务 器, 则 在 这 些 计 算 机 上 Splunk 可 能 会 出 现 问 题 有 关 与 Splunk 索 引 器 共 享 服 务 器 资 源 的 其 他 信 息, 请 参 阅 容 量 规 划 手 册 中 的 针 对 Splunk Enterprise 容 量 规 划 的 介 绍 您 如 何 向 您 的 用 户 告 知 部 署 情 况?Splunk 安 装 意 味 着 环 境 的 改 变 根 据 Splunk 的 部 署 方 式, 某 些 计 算 机 将 会 安 装 新 的 软 件 用 户 可 能 会 误 将 这 些 新 安 装 的 软 件 与 他 们 在 其 计 算 机 上 已 知 的 问 题 或 速 度 变 慢 相 关 联 您 应 保 持 在 任 何 变 动 时 通 知 您 的 用 户, 以 减 少 部 署 相 关 的 支 持 请 求 准 备 将 Splunk 部 署 在 Windows 上 如 何 将 Splunk 部 署 到 您 的 当 前 环 境 中, 取 决 于 您 对 Splunk 的 需 求 ( 并 与 可 用 计 算 资 源 保 持 平 衡 ) 您 的 物 理 和 络 布 局, 以 及 您 的 企 业 基 础 设 施 由 于 并 不 存 在 一 种 特 定 的 Splunk 部 署 方 法, 因 此 也 没 有 可 供 遵 循 的 分 步 说 明 不 过, 您 可 以 遵 循 一 些 通 用 指 南 要 成 功 地 部 署 Splunk, 您 需 要 : 准 备 您 的 络 在 将 Splunk 集 成 到 您 的 环 境 中 之 前 : 确 保 您 的 络 工 作 正 常, 所 有 开 关 路 由 器 和 线 缆 配 置 正 确 交 换 任 何 损 坏 或 故 障 设 备 确 保 所 有 虚 拟 LAN (VLAN) 设 置 正 确 测 试 络 吞 吐 量, 尤 其 是 络 链 路 薄 弱 的 站 点 之 间 的 络 吞 吐 量 准 备 您 的 Active Directory 尽 管 AD 并 不 是 运 行 Splunk 所 必 需 的, 但 最 好 在 部 署 之 前 确 保 其 工 作 正 常 其 中 包 括 但 不 限 于 : 确 定 您 的 所 有 域 控 制 器, 以 及 它 们 可 能 执 行 的 操 作 主 机 角 色 如 果 在 分 支 站 点 内 设 有 RODC, 则 应 确 保 它 们 与 操 作 主 机 DC 之 间 具 有 目 前 最 快 的 连 接 确 保 AD 复 制 工 作 正 常, 并 且 所 有 站 点 链 路 具 有 一 个 包 含 全 局 目 录 副 本 的 DC 如 果 您 的 林 划 分 为 多 个 站 点, 则 应 确 保 您 的 ISTG 角 色 服 务 器 工 作 正 常, 或 者 在 您 的 站 点 内 至 少 分 配 两 个 桥 头 服 务 器 ( 主 服 务 器 和 备 份 服 务 器 ) 确 保 您 的 DNS 基 础 设 施 工 作 正 常 您 可 能 需 要 将 DC 放 在 您 的 络 的 不 同 子 上, 并 在 部 署 过 程 中 根 据 需 要 捕 获 灵 活 单 一 主 机 操 作 (FSMO 或 操 作 主 机 ) 角 色, 以 确 保 最 高 的 AD 操 作 和 复 制 性 能 定 义 您 的 Splunk 部 署 在 您 的 Windows 络 准 备 就 绪 之 后, 接 下 来 您 必 需 决 定 将 Splunk 部 署 到 络 中 的 哪 个 位 置 考 虑 以 下 方 面 : 确 定 您 需 要 Splunk 在 每 台 计 算 机 上 为 其 建 立 索 引 的 数 据 集, 以 及 您 是 否 需 要 Splunk 针 对 任 何 收 集 到 的 数 据 发 出 告 警 如 可 行, 在 每 个 路 段 中 专 门 指 定 一 台 或 多 台 计 算 机 来 处 理 Splunk 索 引 操 作 有 关 分 布 式 Splunk 部 署 的 容 量 规 划 的 其 他 信 息, 请 阅 读 容 量 规 划 手 册 中 的 针 对 Splunk Enterprise 容 量 规 划 的 介 绍 14

15 不 要 在 运 行 耗 费 资 源 型 服 务 ( 例 如 :AD, 尤 其 是 执 行 FSMO 角 色 的 DC; 任 何 版 本 的 Exchange SQL Server;Hyper-V 或 VMWare 等 计 算 机 可 视 化 产 品 ) 的 计 算 机 上 安 装 整 个 Splunk 相 反, 应 使 用 通 用 转 发 器, 或 通 过 WMI 连 接 到 这 些 计 算 机 如 果 您 正 在 运 行 Windows Server 2008/2008 R2 Core, 当 您 在 这 些 计 算 机 上 安 装 Splunk 时, 请 记 住 您 将 无 法 在 Splunk Web 上 通 过 GUI 来 做 出 更 改 适 当 安 排 您 的 Splunk 布 局, 以 确 保 尽 量 使 用 最 小 资 源 络, 尤 其 是 对 于 较 为 薄 弱 的 WAN 链 路 通 用 转 发 器 可 以 显 著 地 减 少 在 络 上 发 送 的 Splunk 相 关 流 量 将 您 的 部 署 计 划 告 知 您 的 用 户 在 整 个 过 程 中 对 您 的 用 户 进 行 部 署 状 态 的 建 议 是 非 常 重 要 的 这 将 显 著 地 减 少 您 将 来 收 到 的 支 持 请 求 数 量 优 化 Splunk 以 获 得 高 性 能 与 许 多 服 务 一 样, 在 Windows 上 的 Splunk 也 需 要 适 当 的 维 护, 以 便 保 持 高 性 能 运 行 本 主 题 介 绍 您 可 以 在 部 署 期 间 或 之 后 采 用 哪 些 方 法 来 确 保 在 Windows 上 的 Splunk 能 够 正 常 运 行 要 确 保 Splunk 高 性 能 运 行 : 指 定 一 台 或 多 台 计 算 机 来 运 行 Splunk Splunk 具 有 水 平 或 横 向 伸 缩 性 这 意 味 着 通 过 增 加 运 行 Splunk 的 计 算 机 台 数, 而 不 是 增 加 单 台 计 算 机 的 资 源, 可 以 获 得 更 高 的 性 能 如 可 行, 应 拆 分 建 立 索 引 和 搜 索 活 动 并 在 多 台 计 算 机 上 运 行, 在 这 些 计 算 机 上 只 运 行 主 要 的 Splunk 服 务 除 了 通 用 转 发 器 之 外, 如 果 在 运 行 与 其 他 服 务 共 享 的 服 务 器 上 运 行 Splunk, 则 性 能 会 降 低 针 对 您 的 Splunk 索 引 使 用 专 用 高 速 磁 盘 用 于 Splunk 建 立 索 引 的 系 统 可 用 磁 盘 越 快,Splunk 的 运 行 速 度 也 越 快 如 可 行, 使 用 主 轴 转 速 超 过 10,000 RPM 的 磁 盘 如 需 针 对 Splunk 使 用 冗 余 存 储, 使 用 基 于 硬 件 的 RAID 1+0( 也 称 为 RAID 10) 它 提 供 了 速 度 和 冗 余 性 之 间 的 最 佳 平 衡 不 建 议 使 用 通 过 Windows 磁 盘 管 理 工 具 提 供 的 基 于 软 件 的 RAID 配 置 不 允 许 防 毒 程 序 扫 描 用 于 运 行 Splunk 作 业 的 磁 盘 当 防 毒 文 件 系 统 驱 动 器 对 访 问 文 件 执 行 病 毒 扫 描 时, 性 能 会 显 著 降 低, 尤 其 是 当 Splunk 内 部 老 化 最 近 建 立 索 引 的 数 据 时 如 果 您 必 须 在 运 行 Splunk 的 服 务 器 上 使 用 防 毒 程 序, 则 必 须 确 保 所 有 Splunk 目 录 和 程 序 被 排 除 在 访 问 文 件 时 的 扫 描 之 外 如 可 用, 使 用 多 个 索 引 将 由 Splunk 建 立 索 引 的 数 据 分 散 到 不 同 索 引 中 将 所 有 数 据 发 送 到 默 认 索 引 可 能 会 导 致 您 的 系 统 出 现 I/O 瓶 颈 问 题 应 根 据 情 况 配 置 您 的 索 引, 以 使 其 尽 量 指 向 系 统 中 的 不 同 物 理 卷 有 关 如 何 配 置 索 引 的 更 多 信 息, 请 参 阅 本 手 册 中 的 配 置 您 的 索 引 不 要 将 您 的 索 引 存 储 在 操 作 系 统 所 在 的 同 一 物 理 磁 盘 或 分 区 上 不 建 议 将 存 储 有 Windows 操 作 系 统 目 录 (%WINDIR%) 或 其 交 换 文 件 的 磁 盘 用 于 Splunk 数 据 存 储 应 将 您 的 Splunk 索 引 存 储 在 系 统 中 的 其 他 磁 盘 上 有 关 索 引 存 储 方 式 的 更 多 信 息, 包 括 数 据 库 数 据 桶 类 型 以 及 Splunk 如 何 存 储 与 老 化 这 些 项 目 的 信 息, 请 阅 读 本 手 册 中 的 Splunk 如 何 存 储 索 引 不 要 将 您 的 Splunk 索 引 的 热 / 温 数 据 桶 存 储 在 络 卷 上 络 延 迟 将 导 致 性 能 显 著 降 低 应 采 用 高 速 本 地 磁 盘 来 存 储 您 的 Splunk 索 引 的 热 / 温 数 据 桶 对 于 冷 / 冻 结 的 索 引 数 据 桶, 您 可 以 指 定 络 共 享, 例 如 分 布 式 文 件 系 统 (DFS) 卷 或 络 文 件 系 统 (NFS) 装 入 点, 但 应 注 意, 如 果 搜 索 包 含 那 些 存 储 在 冷 数 据 桶 中 的 数 据, 则 速 度 会 变 慢 保 持 您 的 Splunk 索 引 器 的 磁 盘 可 用 性 带 宽 和 可 用 空 间 确 保 用 于 存 储 Splunk 索 引 的 磁 盘 卷 始 终 具 有 20% 或 以 上 的 可 用 空 间 磁 盘 性 能 随 可 用 空 间 的 减 少 而 成 比 例 降 低, 因 为 这 时 磁 盘 寻 道 时 间 会 增 加 这 会 影 响 Splunk 建 立 数 据 索 引 的 速 度, 并 决 定 了 搜 索 结 果 报 告 和 告 警 的 返 回 速 度 在 默 认 的 Splunk 安 装 中, 用 于 包 含 您 索 引 的 驱 动 器 必 须 至 少 有 5,000 MB( 约 5 GB) 的 可 用 磁 盘 空 间, 否 则 建 立 索 引 操 作 将 暂 停 在 系 统 映 像 上 加 入 Splunk 本 主 题 介 绍 有 关 使 Splunk 成 为 每 个 Windows 系 统 映 像 或 安 装 过 程 的 一 部 分 的 概 念 它 还 引 导 您 完 成 大 致 的 集 成 过 程, 不 论 您 使 用 何 种 映 像 工 具 有 关 将 Windows 数 据 导 入 Splunk 的 更 多 信 息, 请 阅 读 数 据 导 入 手 册 中 的 关 于 Windows 数 据 和 Splunk 有 关 分 布 式 Splunk 部 署 的 信 息, 请 阅 读 分 布 式 部 署 手 册 中 的 分 布 式 概 述 这 也 是 您 了 解 如 何 实 施 Splunk 部 署 的 必 读 内 容 ( 不 论 您 采 用 哪 种 操 作 系 统 ) 您 还 可 以 从 中 读 到 有 关 Splunk 分 布 式 部 署 操 作 的 信 息 有 关 如 何 规 划 大 规 模 Splunk 部 署 的 信 息, 请 阅 读 容 量 规 划 手 册 中 的 针 对 Splunk Enterprise 容 量 规 划 的 介 绍 和 本 手 册 中 的 在 Windows 上 部 署 Splunk 在 Windows 上 的 系 统 集 成 概 念 将 Splunk 集 成 到 Windows 系 统 映 像 中 的 主 要 目 的 在 于 确 保 当 在 企 业 中 启 用 计 算 机 时 Splunk 能 够 立 即 可 用 这 样, 您 无 需 在 计 算 机 启 用 之 后 安 装 和 配 置 Splunk 15

16 在 此 方 案 中, 当 Windows 系 统 启 动 时, 它 将 在 引 导 后 立 即 启 动 Splunk 然 后, 根 据 所 安 装 Splunk 实 例 的 类 型 与 配 置,Splunk 要 么 集 合 该 计 算 机 的 数 据 并 转 发 给 某 个 索 引 器 ( 多 数 情 况 下 ), 要 么 开 始 对 那 些 从 其 他 Windows 计 算 机 转 发 过 来 的 数 据 建 立 索 引 系 统 管 理 员 还 可 以 配 置 Splunk 实 例 与 某 个 部 署 服 务 器 进 行 通 信, 以 便 执 行 后 续 配 置 和 更 新 管 理 在 许 多 典 型 环 境 中, 在 Windows 计 算 机 上 的 通 用 转 发 器 会 向 某 个 中 央 索 引 器 或 一 组 索 引 器 发 送 数 据, 然 后 根 据 您 的 特 定 需 求, 针 对 这 些 数 据 执 行 搜 索 报 告 和 告 警 系 统 集 成 注 意 事 项 将 Splunk 集 成 到 您 的 Windows 系 统 映 像 中 需 要 细 致 规 划 在 多 数 情 况 下, 集 成 到 Windows 系 统 映 像 中 的 首 选 Splunk 组 件 是 通 用 转 发 器 通 用 转 发 器 专 门 设 计 用 于 分 享 在 执 行 其 他 角 色 的 计 算 机 上 的 资 源, 它 能 够 以 非 常 低 的 成 本 来 执 行 索 引 器 可 执 行 的 大 量 工 作 您 还 可 以 通 过 Splunk 的 部 署 服 务 器 或 某 个 企 业 内 配 置 管 理 器 来 修 改 转 发 器 的 配 置, 而 无 需 使 用 Splunk Web 来 做 出 更 改 在 某 些 情 况 下, 您 可 能 需 要 将 整 个 Splunk 实 例 集 成 到 系 统 映 像 中 这 种 做 法 的 适 当 场 合 和 时 机, 取 决 于 您 的 特 定 需 求 和 资 源 可 用 性 Splunk 不 建 议 您 在 执 行 任 何 其 他 角 色 的 服 务 器 的 系 统 映 像 中 包 含 Splunk 的 完 整 版 本, 除 非 您 需 要 的 是 索 引 器 而 不 是 转 发 器 的 操 作 在 企 业 中 安 装 多 个 索 引 器 并 不 会 带 来 额 外 的 索 引 能 力 或 速 度, 相 反 可 能 带 来 意 外 的 结 果 在 将 Splunk 集 成 到 系 统 映 像 中 之 前, 请 考 虑 : 您 需 要 Splunk 来 建 立 索 引 的 数 据 量, 以 及 Splunk 需 要 将 这 些 数 据 发 送 到 何 处 ( 如 适 用 ) 这 将 直 接 用 于 磁 盘 空 间 计 算, 应 当 是 最 重 要 的 考 虑 因 素 要 在 映 像 或 计 算 机 上 安 装 的 Splunk 实 例 类 型 在 执 行 其 他 职 责 的 工 作 站 或 服 务 器 上 安 装 通 用 转 发 器 具 有 显 著 的 优 点, 但 在 某 些 情 况 下 可 能 不 太 适 合 在 安 装 映 像 的 计 算 机 上 可 用 的 系 统 资 源 在 每 个 映 像 系 统 上 有 多 少 可 用 磁 盘 空 间 RAM 和 CPU 资 源? 它 是 否 支 持 安 装 Splunk? 您 的 络 的 资 源 需 求 不 论 您 是 使 用 WMI 来 将 其 连 接 到 远 程 计 算 机 以 集 合 数 据, 或 是 在 每 台 计 算 机 上 安 装 转 发 器 并 向 索 引 器 发 送 数 据,Splunk 都 需 要 络 资 源 在 映 像 中 所 安 装 的 其 他 程 序 的 系 统 要 求 如 果 Splunk 与 另 一 个 服 务 器 共 享 资 源, 则 它 可 能 会 占 用 其 他 程 序 的 可 用 资 源 考 虑 您 是 否 应 在 运 行 完 整 Splunk 实 例 的 工 作 站 或 服 务 器 上 安 装 其 他 程 序 在 此 类 情 况 下, 通 用 转 发 器 更 能 胜 任, 因 为 它 采 用 轻 型 设 计 安 装 映 像 的 计 算 机 在 您 的 环 境 中 所 扮 演 的 角 色 将 成 为 只 诸 如 Office 这 类 生 产 力 应 用 程 序 运 行 的 工 作 站 吗? 或 者, 它 将 成 为 您 的 Active Directory 林 的 操 作 主 机 域 控 制 器? 将 Splunk 集 成 到 系 统 映 像 中 在 您 确 定 上 述 检 查 表 中 问 题 的 答 案 之 后, 下 一 步 是 将 Splunk 集 成 到 您 的 系 统 映 像 中 这 里 列 出 了 大 致 的 步 骤, 因 此 您 可 以 使 用 您 喜 好 的 系 统 映 像 或 配 置 工 具 来 完 成 该 任 务 从 下 列 系 统 集 成 选 项 中 选 择 一 项 : 将 通 用 转 发 器 集 成 到 系 统 映 像 中 将 Splunk 的 完 整 版 本 集 成 到 系 统 映 像 中 将 通 用 转 发 器 集 成 到 系 统 映 像 中 本 主 题 介 绍 将 Splunk 通 用 转 发 器 集 成 到 Windows 系 统 映 像 中 的 程 序 有 关 将 Splunk 集 成 到 映 像 中 的 其 他 信 息, 请 参 阅 将 Splunk 集 成 到 系 统 映 像 中 要 将 通 用 转 发 器 集 成 到 系 统 映 像 中 : 1. 使 用 基 准 计 算 机, 根 据 您 的 需 要 安 装 并 配 置 Windows, 包 括 安 装 任 何 所 需 的 Windows 功 能 修 补 程 序 和 其 他 组 件 2. 安 装 并 配 置 任 何 所 需 的 应 用 程 序, 同 时 兼 顾 Splunk 的 系 统 和 硬 件 容 量 需 求 3. 从 命 令 行 中 安 装 并 配 置 通 用 转 发 器, 应 至 少 提 供 LAUNCHSPLUNK=0 命 令 行 标 记 注 意 : 您 必 须 指 定 LAUNCHSPLUNK=0 命 令 行 标 记, 以 防 止 Splunk 在 安 装 完 成 后 立 即 运 行 4. 继 续 到 安 装 的 图 形 部 分, 选 择 所 需 的 输 入 部 署 服 务 器 和 / 或 转 发 器 目 标 5. 在 您 完 成 安 装 之 后, 打 开 命 令 提 示 符 16

17 6. 从 提 示 符 下, 编 辑 那 些 无 法 在 安 装 程 序 中 配 置 的 附 加 配 置 文 件 7. 关 闭 命 令 提 示 符 窗 口 8. 确 保 将 splunkd 服 务 设 为 自 动 启 动 为 此, 您 需 要 在 服 务 控 制 面 板 中 将 其 启 动 类 型 设 为 'Automatic' 9. 使 用 诸 如 SYSPREP( 适 用 于 Windows XP 和 Windows Server 2003/2003 R2) 和 / 或 Windows 系 统 映 像 管 理 器 (WSIM)( 对 于 Windows Vista Windows 7 和 Windows Server 2008/2008 R2) 等 工 具 来 准 备 系 统 映 像 以 便 加 入 域 注 意 :Microsoft 建 议 使 用 SYSPREP 和 WSIM 以 在 复 制 之 前 更 改 计 算 机 安 全 标 识 符 (SID), 这 与 使 用 第 三 方 工 具 ( 如 Ghost Walker 或 NTSID) 的 做 法 相 反 10. 在 您 配 置 好 用 于 创 建 映 像 的 系 统 之 后, 重 新 启 动 计 算 机, 并 使 用 您 喜 好 的 映 像 工 具 来 制 作 映 像 副 本 接 下 来 您 就 可 以 部 署 映 像 了 将 完 整 Splunk 集 成 到 系 统 映 像 中 本 主 题 介 绍 将 Splunk 的 完 整 版 本 集 成 到 Windows 系 统 映 像 中 的 程 序 有 关 将 Splunk 集 成 到 映 像 中 的 其 他 信 息, 请 参 阅 本 手 册 中 的 在 系 统 映 像 上 加 入 Splunk 要 将 Splunk 的 完 整 版 本 集 成 到 系 统 映 像 中 : 1. 使 用 基 准 计 算 机, 根 据 您 的 需 要 安 装 并 配 置 Windows, 包 括 安 装 任 何 所 需 的 Windows 功 能 修 补 程 序 和 其 他 组 件 2. 安 装 并 配 置 任 何 所 需 的 应 用 程 序, 同 时 兼 顾 Splunk 的 系 统 和 硬 件 容 量 需 求 3. 安 装 和 配 置 Splunk 重 要 提 示 : 您 可 以 使 用 GUI 安 装 程 序 来 进 行 安 装, 但 从 命 令 行 中 安 装 软 件 包 时 可 以 使 用 更 多 选 项 4. 在 您 配 置 Splunk 输 入 之 后, 打 开 命 令 提 示 符 5. 从 该 提 示 符 下, 切 换 到 %SPLUNK_HOME%\bin 目 录 并 发 出.\splunk stop 来 停 止 Splunk 6. 发 出.\splunk clean eventdata 以 清 除 任 何 事 件 数 据 7. 关 闭 命 令 提 示 符 窗 口 8. 确 保 将 splunkd 和 splunkweb 服 务 均 设 为 自 动 启 动 为 此, 您 需 要 在 服 务 控 制 面 板 中 将 其 启 动 类 型 设 为 'Automatic' 9. 使 用 诸 如 SYSPREP( 适 用 于 Windows XP 和 Windows Server 2003/2003 R2) 和 / 或 Windows 系 统 映 像 管 理 器 (WSIM)( 对 于 Windows Vista Windows 7 和 Windows Server 2008/2008 R2) 等 工 具 来 准 备 系 统 映 像 以 便 加 入 域 注 意 :Microsoft 建 议 使 用 SYSPREP 和 WSIM 以 在 复 制 之 前 更 改 计 算 机 安 全 标 识 符 (SID), 这 与 使 用 第 三 方 工 具 ( 如 Ghost Walker 或 NTSID) 的 做 法 相 反 10. 在 您 配 置 好 用 于 创 建 映 像 的 系 统 之 后, 重 新 启 动 计 算 机, 并 使 用 您 喜 好 的 映 像 工 具 来 制 作 映 像 副 本 接 下 来 您 就 可 以 部 署 映 像 了 使 用 Splunk Web 管 理 Splunk Enterprise 启 动 Splunk Web Splunk 运 行 后, 您 就 可 以 启 动 Web 界 面 Splunk Web 了 要 了 解 更 多 Splunk Web 相 关 信 息, 请 参 阅 : Splunk Web 管 理 任 务 导 航 Splunk Web 使 用 Splunk 搜 索 要 启 动 Splunk Web, 导 航 到 : 17

18 使 用 您 在 安 装 期 间 选 择 的 主 机 和 端 口 当 您 使 用 Enterprise 许 可 证 首 次 登 录 Splunk 时, 默 认 的 登 录 信 息 为 : 用 户 名 - admin 密 码 - changeme 注 意 : 使 用 免 费 许 可 证 的 Splunk 不 具 有 访 问 控 制, 因 此 不 会 提 示 您 输 入 登 录 信 息 注 意 : 从 Splunk 版 本 起, 您 无 法 从 远 程 浏 览 器 访 问 Splunk Free, 除 非 您 已 编 辑 $SPLUNK_HOME/etc/local/server.conf 并 将 allowremotelogin 设 置 为 Always 如 果 您 在 运 行 Splunk Enterprise, 则 默 认 情 况 下 禁 止 管 理 员 用 户 远 程 登 录 ( 设 为 requiresetpassword), 除 非 您 更 改 了 默 认 密 码 Splunk Web 管 理 任 务 Splunk Web 是 Splunk 的 基 于 浏 览 器 的 界 面 下 面 是 您 在 Splunk Web 中 可 以 执 行 的 项 操 作 : 配 置 数 据 导 入 搜 索 数 据 和 报 表 并 可 视 化 结 果 调 查 问 题 在 本 机 或 通 过 LDAP 策 略 管 理 用 户 Splunk 部 署 故 障 排 除 管 理 群 集 和 对 等 节 点 参 考 系 统 要 求 以 获 得 所 支 持 的 操 作 系 统 和 浏 览 器 列 表 Splunk 设 置 菜 单 Splunk Web 提 供 了 一 个 方 便 的 界 面 来 管 理 大 多 数 Splunk 的 操 作 大 多 数 功 能 均 可 通 过 单 击 菜 单 中 的 设 置 来 访 问 从 此 处, 您 可 以 : 管 理 数 据 在 设 置 > 数 据 下, 您 可 以 执 行 以 下 操 作 : 数 据 输 入 使 您 可 以 查 看 数 据 类 型 的 列 表 并 配 置 这 些 数 据 类 型 要 添 加 输 入, 请 单 击 数 据 导 入 页 面 中 的 添 加 数 据 按 钮 有 关 如 何 添 加 数 据 的 更 多 信 息, 请 参 阅 数 据 导 入 手 册 转 发 和 接 收 使 您 可 以 设 置 转 发 器 和 接 收 器 有 关 设 置 转 发 和 接 收 的 更 多 信 息, 请 参 阅 转 发 数 据 手 册 索 引 使 您 可 以 添 加 禁 用 和 启 用 索 引 报 表 加 速 摘 要 带 您 搜 索 和 报 表 应 用, 以 使 您 审 阅 现 有 的 报 表 摘 要 有 关 创 建 报 表 摘 要 的 更 多 信 息, 请 参 阅 知 识 管 理 器 手 册 管 理 用 户 和 用 户 验 证 通 过 导 航 到 设 置 > 用 户 和 验 证 > 访 问 控 制, 您 可 以 执 行 以 下 操 作 : 创 建 和 管 理 用 户 定 义 和 分 配 角 色 设 置 LDAP 验 证 策 略 有 关 使 用 用 户 和 验 证 的 更 多 信 息, 请 参 阅 确 保 Splunk 安 全 手 册 使 用 应 用 要 查 看 您 已 安 装 的 应 用, 请 选 择 菜 单 栏 中 的 应 用 在 此 页 面 上, 您 可 以 从 已 经 安 装 且 当 前 可 用 的 应 用 列 表 中 选 择 一 个 应 用 您 还 可 以 从 此 处 访 问 下 列 菜 单 选 项 : 查 找 更 多 应 用 使 您 可 以 搜 索 并 安 装 其 他 应 用 管 理 应 用 使 您 可 以 管 理 现 有 应 用 您 还 可 以 从 主 页 页 面 访 问 所 有 应 用 有 关 应 用 的 更 多 信 息, 请 参 阅 开 发 用 于 Splunk Web 的 视 图 和 应 用 管 理 系 统 的 各 个 方 面 18

19 设 置 > 系 统 下 的 选 项 允 许 您 执 行 以 下 操 作 : 服 务 器 设 置 使 您 可 以 管 理 Splunk 设 置, 如 端 口 主 机 名 索 引 路 径 电 子 邮 件 服 务 器 以 及 系 统 日 志 和 部 署 客 户 端 信 息 有 关 使 用 Splunk Web 配 置 和 管 理 分 布 式 环 境 的 更 多 信 息, 请 参 阅 更 新 Splunk 组 件 手 册 服 务 器 控 件 使 您 可 以 重 新 启 动 Splunk 许 可 授 权 使 您 可 以 管 理 Splunk 许 可 证 并 延 长 其 有 效 期 Splunk Enterprise 默 认 仪 表 板 Splunk Enterprise 附 带 了 一 系 列 有 用 的 仪 表 板 它 们 有 助 于 您 排 除 系 统 故 障 和 进 行 搜 索, 还 能 帮 助 您 了 解 您 需 要 如 何 设 计 您 自 己 的 仪 表 板 和 视 图 活 动 仪 表 板 您 可 以 通 过 单 击 页 面 顶 部 附 近 的 用 户 栏 中 的 活 动 > 系 统 活 动 找 到 下 列 仪 表 板 注 意 : 这 些 仪 表 板 仅 对 具 备 管 理 员 角 色 权 限 的 用 户 可 见 请 参 阅 确 保 Splunk Enterprise 安 全 中 的 添 加 和 管 理 用 户 有 关 设 置 仪 表 板 权 限 的 信 息, 请 参 阅 知 识 管 理 器 手 册 搜 索 活 动 - 该 仪 表 板 集 合 提 供 有 关 您 的 Splunk 实 例 搜 索 活 动 的 速 览 信 息 您 可 以 了 解 到 搜 索 何 时 运 行 它 们 对 系 统 产 生 的 负 载 量 哪 些 搜 索 最 常 用 哪 些 搜 索 视 图 和 仪 表 板 用 得 最 多 等 等 提 供 的 仪 表 板 如 下 : 搜 索 活 动 概 述 搜 索 详 细 信 息 搜 索 用 户 活 动 服 务 器 活 动 - 该 仪 表 板 的 集 合 提 供 有 关 splunkd 和 Splunk Web 性 能 的 指 标 信 息, 而 且 便 于 进 行 故 障 排 除 您 可 以 看 到 所 报 告 的 错 误 数 量 最 近 错 误 列 表 时 间 戳 问 题 和 未 处 理 的 异 常 状 况 列 表 显 示 近 期 浏 览 器 使 用 情 况 的 图 表 等 等 提 供 的 仪 表 板 如 下 : 内 部 消 息 和 错 误 许 可 证 使 用 情 况 计 划 程 序 活 动 - 该 仪 表 板 的 集 合 允 许 您 深 入 了 解 搜 索 计 划 程 序 的 工 作 情 况, 确 保 及 时 运 行 特 殊 和 计 划 的 搜 索 计 划 程 序 活 动 概 述 按 用 户 或 应 用 的 计 划 程 序 活 动 依 据 保 存 搜 索 的 计 划 程 序 活 动 计 划 程 序 错 误 摘 要 仪 表 板 摘 要 仪 表 板 是 您 在 进 入 搜 索 和 报 表 应 用 之 后 首 先 看 到 的 内 容 它 提 供 了 一 个 搜 索 栏 和 时 间 范 围 挑 选 器, 您 可 以 用 它 们 来 输 入 并 运 行 您 的 初 始 搜 索 当 您 将 某 个 输 入 添 加 到 Splunk 时, 该 输 入 将 与 您 当 前 使 用 的 应 用 建 立 关 联 某 些 应 用 ( 例 如 *nix 和 Windows 应 用 ) 会 将 输 入 数 据 写 入 到 特 定 索 引 ( 对 于 *nix 和 Windows, 此 为 os 索 引 ) 如 果 您 查 看 摘 要 仪 表 板, 但 看 不 到 那 些 您 确 定 其 位 于 Splunk 中 的 数 据, 请 确 保 您 在 正 确 的 索 引 上 进 行 查 看 您 可 能 需 要 将 某 个 应 用 使 用 的 索 引 添 加 到 您 当 前 角 色 的 默 认 索 引 列 表 有 关 角 色 的 更 多 信 息, 请 参 阅 确 保 Splunk 安 全 中 关 于 角 色 的 此 主 题 有 关 摘 要 仪 表 板 的 更 多 信 息, 请 参 阅 搜 索 教 程 自 定 义 Splunk Web 横 幅 消 息 您 可 以 添 加 和 编 辑 用 户 登 录 时 其 页 面 上 方 显 示 的 通 知 通 知 也 将 在 Splunk Web 中 的 消 息 菜 单 下 显 示 您 需 要 管 理 员 或 系 统 用 户 级 别 权 限 来 添 加 或 编 辑 通 知 要 更 改 或 编 辑 通 知 : 1. 选 择 设 置 > 用 户 界 面 2. 单 击 新 建 以 创 建 新 消 息, 或 单 击 公 告 消 息 并 选 择 您 想 要 编 辑 的 消 息 19

20 3. 编 辑 现 有 消 息 文 本, 或 为 新 消 息 指 定 一 个 名 称 和 消 息 文 本 4. 单 击 保 存 此 消 息 将 会 在 页 面 顶 部 显 示 为 色 横 幅 它 也 会 在 消 息 菜 单 中 显 示 为 说 明 配 合 使 用 Splunk Web 与 代 理 服 务 器 当 Splunk Web 位 于 代 理 服 务 器 之 后 时, 用 户 使 用 访 问 Splunk 站 的 Splunk Web 链 接 时 可 能 会 遇 到 问 题 例 如, 一 些 Splunk Web 页 面 直 接 链 接 到 Splunk 应 用 的 下 载 站 点, 许 多 了 解 更 多 信 息 链 接 将 使 您 访 问 在 线 文 档 要 解 决 此 问 题, 只 需 设 置 HTTP_PROXY 环 境 变 量 要 获 得 永 久 性 结 果, 您 可 以 在 splunk-launch.conf 配 置 文 件 中 指 定 设 置, 该 文 件 位 于 $SPLUNK_HOME/etc/(*nix 系 统 ) 和 %SPLUNK_HOME%\etc\(Windows 系 统 ) 中 注 意 : 应 用 管 理 器 不 支 持 用 于 代 理 服 务 器, 如 果 您 使 用 带 有 Splunk Web 的 代 理 服 务 器, 您 必 须 手 动 下 载 和 更 新 应 用 在 splunk-launch.conf 中, 添 加 以 下 属 性 / 值 对 : HTTP_PROXY = <IP address or host name>:<port number> 例 如 : HTTP_PROXY = :8787 重 要 提 示 : 如 果 代 理 服 务 器 仅 处 理 HTTPS 请 求, 则 必 须 使 用 以 下 属 性 / 值 对 : HTTPS_PROXY = <IP address or host name>:<port number> 例 如 : HTTPS_PROXY = :8888 使 用 配 置 文 件 管 理 Splunk Enterprise 关 于 配 置 文 件 Splunk Enterprise 的 配 置 信 息 都 存 储 在 配 置 文 件 中 这 些 文 件 由.conf 扩 展 名 标 识, 其 中 保 存 配 置 不 同 方 面 的 信 息 这 些 方 面 包 括 : 系 统 设 置 验 证 和 授 权 信 息 索 引 映 射 和 设 置 部 署 和 群 集 配 置 知 识 对 象 和 已 保 存 的 搜 索 有 关 配 置 文 件 的 列 表 以 及 每 个 文 件 所 涵 盖 内 容 的 概 述, 请 参 阅 本 手 册 中 的 配 置 文 件 列 表 大 多 数 配 置 文 件 均 附 带 了 "$SPLUNK_HOME/etc/system/default/ 目 录 中 的 Splunk 软 件 使 用 Splunk Web 来 管 理 配 置 文 件 在 Splunk Web 中 更 改 配 置 时, 此 更 改 会 写 入 到 该 设 置 的 配 置 文 件 副 本 中 Splunk 软 件 创 建 此 配 置 文 件 的 副 本 ( 如 果 不 存 在 ) 将 更 改 写 入 到 此 副 本, 并 将 其 添 加 到 $SPLUNK_HOME/etc/... 下 的 某 个 目 录 中 新 文 件 所 添 加 到 的 目 录 取 决 于 多 个 因 素, 这 将 在 本 手 册 的 配 置 文 件 目 录 中 加 以 讨 论 最 常 见 的 目 录 为 $SPLUNK_HOME/etc/system/local, 在 本 示 例 中 使 用 此 目 录 如 果 您 在 Splunk Web 中 添 加 一 个 新 索 引, 软 件 会 执 行 下 列 操 作 : 1. 检 查 文 件 的 副 本 是 否 存 在 2. 如 果 无 副 本 存 在, 软 件 会 创 建 indexes.conf 的 副 本 并 将 其 添 加 到 $SPLUNK_HOME/etc/system/local 之 类 的 目 录 中 3. 将 更 改 写 入 到 indexes.conf 的 副 本 中 4. 在 $SPLUNK_HOME/etc/system/default 中 保 留 未 更 改 的 默 认 文 件 20

21 直 接 编 辑 配 置 文 件 尽 管 可 以 从 Splunk Web 进 行 许 多 配 置, 但 您 也 可 以 针 对 任 一 设 置 直 接 编 辑 配 置 文 件 对 于 Splunk Web 不 支 持 的 更 为 高 级 的 自 定 义,Splunk Web 不 能 访 问 此 属 性 您 必 须 直 接 编 辑 配 置 文 件 注 意 : 与 在 Splunk Web 中 进 行 更 改 相 比, 编 辑 配 置 文 件 需 要 重 新 启 动 的 频 率 更 高 请 参 阅 本 手 册 中 的 更 改 配 置 文 件 之 后 何 时 重 新 启 动 Splunk 重 要 提 示 : 不 要 更 改 或 复 制 默 认 目 录 中 的 配 置 文 件 默 认 文 件 必 须 保 持 原 样 并 位 于 其 原 始 位 置 要 更 改 特 定 配 置 文 件 的 设 置, 必 须 先 在 非 默 认 目 录 中 创 建 新 版 本 文 件, 然 后 添 加 想 要 更 改 的 设 置 有 关 您 可 以 编 辑 配 置 文 件 的 目 录 位 置 相 关 信 息, 请 参 阅 配 置 文 件 目 录 开 始 创 建 文 件 新 版 本 时, 以 空 文 件 开 始 不 要 以 默 认 目 录 副 本 开 始 在 您 更 改 任 何 配 置 文 件 之 前 : 了 解 默 认 配 置 文 件 如 何 工 作 以 及 您 编 辑 的 副 本 应 置 于 何 处 请 参 阅 本 手 册 中 的 配 置 文 件 目 录 了 解 构 成 配 置 文 件 的 段 落 结 构 以 及 如 何 设 置 要 编 辑 的 属 性 请 参 阅 本 手 册 中 的 配 置 文 件 结 构 了 解 不 同 目 录 中 同 一 配 置 文 件 的 不 同 副 本 如 何 分 层 放 置, 以 便 您 知 道 您 副 本 的 最 佳 放 置 位 置 请 参 阅 本 手 册 中 的 配 置 文 件 优 先 顺 序 熟 悉 配 置 文 件 内 容 和 目 录 结 构 并 了 解 如 何 利 用 Splunk Enterprise 的 配 置 文 件 优 先 顺 序 后, 请 参 阅 如 何 编 辑 配 置 文 件 以 了 解 如 何 安 全 地 修 改 文 件 配 置 文 件 目 录 单 个 Splunk 实 例 通 常 有 配 置 文 件 的 多 个 版 本, 分 散 在 个 目 录 中 您 可 以 有 个 具 有 相 同 名 称 的 配 置 文 件, 分 放 在 default local 和 app 目 录 中 这 样 可 以 形 成 层 级, 允 许 Splunk 基 于 因 素 ( 例 如 当 前 用 户 和 当 前 应 用 ) 决 定 配 置 优 先 级 要 了 解 有 关 Splunk 如 何 评 定 配 置 优 先 级 的 更 多 信 息, 请 参 阅 配 置 文 件 优 先 顺 序 注 意 : 给 定 配 置 文 件 最 准 确 的 设 置 列 表 在 该 配 置 文 件 的.spec 文 件 中.spec 和.example 文 件 的 最 新 版 本 在 配 置 文 件 参 考 或 $SPLUNK_HOME/etc/system/README 中 关 于 默 认 文 件 上 述 所 有 目 录 您 都 可 以 随 意 更 改, 除 了 /default - 不 要 尝 试 编 辑 任 何 内 容 -- duckfez, 2010 默 认 目 录 包 含 预 配 置 版 本 的 配 置 文 件 默 认 目 录 位 置 是 $SPLUNK_HOME/etc/system/default 重 要 提 示 : 不 要 更 改 或 复 制 默 认 目 录 中 的 配 置 文 件 默 认 文 件 必 须 保 持 原 样 并 位 于 其 原 始 位 置 Splunk Enterprise 升 级 过 程 将 覆 盖 默 认 目 录, 因 此 默 认 目 录 下 所 做 的 所 有 更 改 在 升 级 过 程 中 将 丢 失 非 默 认 配 置 目 录 下 所 做 的 更 改, 例 如 $SPLUNK_HOME/etc/system/local 或 $SPLUNK_HOME/etc/apps/<app_name>/local 升 级 后 仍 存 在 要 更 改 特 定 配 置 文 件 的 属 性 值, 必 须 先 在 非 默 认 目 录 中 创 建 新 版 本 文 件, 然 后 在 其 中 修 改 值 非 默 认 目 录 中 的 值 优 先 于 默 认 目 录 中 的 值 注 意 : 开 始 创 建 新 版 本 文 件 时, 以 空 文 件 开 始, 仅 添 加 需 要 更 改 的 属 性 不 要 以 默 认 目 录 副 本 开 始 如 果 您 将 整 个 默 认 文 件 复 制 到 优 先 级 较 高 的 位 置, 则 将 来 Splunk Enterprise 升 级 时 默 认 值 的 任 意 更 改 将 不 会 生 效, 因 为 复 制 的 文 件 中 的 值 将 覆 盖 默 认 文 件 中 更 新 的 值 在 何 处 放 置 ( 或 查 找 ) 已 修 改 的 配 置 文 件 您 可 以 将 配 置 文 件 的 个 版 本 分 层 堆 叠 在 一 起,Splunk 按 照 配 置 文 件 优 先 顺 序 中 介 绍 的 分 层 堆 叠 方 案 使 用 不 同 的 属 性 值 切 勿 在 默 认 目 录 中 编 辑 文 件 而 是 在 配 置 目 录 之 一 中 创 建 和 / 或 编 辑 文 件, 例 如 $SPLUNK_HOME/etc/system/local 升 级 过 程 中 不 会 覆 盖 这 些 目 录 对 于 大 多 数 部 署, 您 可 以 使 用 $SPLUNK_HOME/etc/system/local 目 录 进 行 配 置 更 改 然 而, 在 某 些 情 况 下, 您 可 能 希 望 使 用 其 他 目 录 中 的 文 件 下 面 是 $SPLUNK_HOME/etc 中 的 配 置 目 录 结 构 : $SPLUNK_HOME/etc/system/local 基 于 站 范 围 的 本 地 更 改 存 储 在 此 目 录 中 ; 例 如, 想 要 可 供 所 有 应 用 使 用 的 设 置 如 果 此 目 录 中 尚 不 存 在 您 正 在 查 找 的 配 置 文 件, 请 创 建 该 文 件 并 授 予 其 写 入 权 限 $SPLUNK_HOME/etc/slave-apps/[_cluster <app_name>]/[local default] 仅 供 群 集 对 等 节 点 使 用 $SPLUNK_HOME/etc/slave-apps 下 的 子 目 录 包 含 所 有 对 等 节 点 通 用 的 配 置 文 件 不 要 更 改 群 集 对 等 节 点 本 身 的 这 些 子 目 录 的 内 容 而 是 使 用 群 集 主 节 点 来 将 任 何 新 的 或 已 修 改 的 文 件 分 21

22 发 给 这 些 子 目 录 _cluster 目 录 包 含 的 配 置 文 件 虽 然 并 不 属 于 真 正 应 用 中 的 一 部 分, 但 是 在 所 有 对 等 节 点 之 间 必 须 保 持 一 致 indexes.conf 文 件 就 是 一 个 典 型 示 例 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 更 新 通 用 对 等 节 点 配 置 $SPLUNK_HOME/etc/apps/<app_name>/[local default] 如 果 进 行 配 置 更 改 时 您 在 应 用 中, 则 设 置 会 写 入 应 用 的 /local 目 录 中 的 配 置 文 件 例 如, 在 默 认 Splunk 搜 索 应 用 中 对 搜 索 时 间 设 置 所 做 的 编 辑 会 写 入 :$SPLUNK_HOME/etc/apps/search/local/ 如 果 您 想 要 编 辑 配 置 文 件, 但 使 更 改 仅 应 用 于 某 一 应 用, 则 将 配 置 文 件 复 制 到 该 应 用 的 /local 目 录 ( 具 有 写 入 权 限 ) 中, 然 后 在 此 目 录 中 进 行 更 改 $SPLUNK_HOME/etc/users 用 户 特 定 的 配 置 更 改 写 入 此 处 $SPLUNK_HOME/etc/system/README 此 目 录 包 含 支 持 参 考 文 档 对 于 大 多 数 配 置 文 件, 有 两 个 参 考 文 件 :.spec 和.example; 例 如 inputs.conf.spec 和 inputs.conf.example.spec 文 件 指 定 语 法, 包 括 可 用 属 性 和 变 量 列 表.example 文 件 包 含 实 际 用 法 示 例 配 置 文 件 结 构 编 辑 配 置 文 件 之 前, 您 自 己 应 熟 悉 这 些 文 件 的 结 构 段 落 配 置 文 件 由 一 个 或 多 个 段 落 或 章 节 组 成 每 个 段 落 的 开 头 是 段 落 标 题, 以 方 括 号 括 起 此 标 题 标 识 该 段 落 中 所 保 留 的 设 置 每 个 设 置 均 为 指 定 特 定 配 置 设 置 的 属 性 值 对 例 如,inputs.conf 提 供 [SSL], 其 中 包 括 服 务 器 证 书 和 密 码 的 设 置 ( 以 及 其 他 设 置 ): [SSL] servercert = <pathname> password = <password> 其 中 一 些 属 性 为 必 填, 而 另 一 些 属 性 为 可 选, 具 体 取 决 于 段 落 类 型 设 置 新 段 落 编 辑 配 置 文 件 时, 您 可 能 要 更 改 默 认 段 落 ( 如 上 所 述 ), 也 可 能 需 要 添 加 全 新 的 段 落 基 本 模 式 如 下 : [stanza1_header] <attribute1> = <val1> comment <attribute2> = <val2>... [stanza2_header] <attribute1> = <val1> <attribute2> = <val2>... 重 要 提 示 : 属 性 区 分 大 小 写 例 如 sourcetype = my_app 与 SOURCETYPE = my_app 不 同 其 中 一 个 起 作 用, 另 一 个 不 起 作 用 段 落 范 围 配 置 文 件 常 常 会 有 不 同 范 围 的 段 落, 更 为 具 体 详 细 的 段 落 优 先 例 如, 假 设 此 outputs.conf 配 置 文 件 示 例, 用 于 配 置 转 发 器 : [tcpout] indexandforward=true compressed=true [tcpout:my_indexersa] autolb=true compressed=false server=mysplunk_indexer1:9997, mysplunk_indexer2:

23 [tcpout:my_indexersb] autolb=true server=mysplunk_indexer3:9997, mysplunk_indexer4:9997 请 注 意, 本 示 例 文 件 有 两 个 段 落 层 级 : 全 局 [tcpout], 包 含 影 响 所 有 tcp 转 发 的 设 置 两 个 [tcpout:<target_list>] 段 落, 其 设 置 仅 影 响 在 每 个 目 标 组 中 定 义 的 索 引 器 compressed 在 [tcpout:my_indexersa] 中 的 设 置 覆 盖 该 属 性 在 [tcpout] 中 的 设 置, 仅 适 用 于 my_indexersa 目 标 组 中 的 索 引 器 有 关 转 发 器 和 outputs.conf 的 更 多 信 息, 请 参 阅 使 用 outputs.conf 配 置 转 发 器 配 置 文 件 优 先 顺 序 有 关 配 置 文 件 的 更 多 信 息, 请 阅 读 关 于 配 置 文 件 Splunk 使 用 配 置 文 件 确 定 其 行 为 的 乎 各 个 方 面 单 个 Splunk 实 例 可 以 具 有 同 一 配 置 文 件 的 多 个 副 本 这 些 文 件 副 本 通 常 分 层 放 置 在 影 响 用 户 应 用 或 系 统 整 体 的 目 录 中 编 辑 配 置 文 件 时, 了 解 Splunk 如 何 评 估 这 些 文 件 以 及 这 些 文 件 的 优 先 顺 序 非 常 重 要 合 并 更 改 时,Splunk 对 配 置 文 件 执 行 下 列 操 作 : Splunk 按 照 基 于 位 置 的 优 先 顺 序 方 案 合 并 来 自 文 件 的 所 有 副 本 的 设 置 当 不 同 副 本 有 冲 突 的 属 性 值 时 ( 也 就 是 说, 不 同 副 本 将 相 同 属 性 设 置 为 不 同 值 时 ),Splunk 使 用 具 有 最 高 优 先 级 的 文 件 的 值 Splunk 按 照 配 置 文 件 在 其 目 录 结 构 中 的 位 置 来 确 定 优 先 级 ( 依 据 文 件 是 在 系 统 目 录 应 用 目 录 还 是 用 户 目 录 中 ) 确 定 应 用 目 录 集 合 中 的 优 先 级 时,Splunk 使 用 ASCII 排 序 顺 序 应 用 目 录 中 名 称 包 含 "A" 的 文 件 比 应 用 目 录 中 名 称 包 含 "B" 的 文 件 的 优 先 级 高, 以 此 类 推 注 意 : 除 了 解 决 一 个 文 件 的 多 个 副 本 之 间 的 配 置 设 置 之 外,Splunk 有 时 还 需 要 解 决 单 个 文 件 中 的 设 置 有 关 Splunk 如 何 在 单 个 props.conf 文 件 中 确 定 优 先 顺 序 的 信 息, 请 参 阅 单 个 props.conf 文 件 中 的 属 性 优 先 顺 序 关 于 配 置 文 件 上 下 文 如 何 确 定 优 先 顺 序 取 决 于 文 件 的 上 下 文 应 用 或 用 户 上 下 文 与 全 局 上 下 文 要 确 定 配 置 文 件 的 多 个 副 本 的 优 先 级,Splunk 首 先 确 定 目 录 方 案 Splunk 使 用 两 个 主 要 的 目 录 优 先 顺 序 方 案 应 用 或 用 户 : 一 些 活 动 ( 如 搜 索 ) 发 生 在 应 用 或 用 户 上 下 文 中 应 用 或 用 户 上 下 文 对 于 搜 索 时 间 处 理 非 常 重 要, 其 中 某 些 知 识 对 象 或 动 作 可 能 仅 对 特 定 应 用 中 的 特 定 用 户 有 效 全 局 : 建 立 索 引 等 活 动 发 生 在 全 局 上 下 文 中 它 们 独 立 于 应 用 或 用 户 例 如, 确 定 监 视 行 为 的 配 置 文 件 发 生 在 应 用 或 用 户 上 下 文 外, 但 其 本 质 上 属 于 全 局 上 下 文 群 集 对 等 节 点 配 置 上 下 文 对 于 群 集 对 等 节 点 全 局 配 置, 还 有 扩 展 的 优 先 顺 序 这 是 因 为 一 些 配 置 文 件 ( 例 如 indexes.conf) 必 须 在 所 有 对 等 节 点 之 间 都 相 同 要 保 持 文 件 一 致, 需 从 群 集 主 节 点 对 其 进 行 管 理, 这 样 文 件 便 分 布 至 对 等 节 点, 以 便 所 有 对 等 节 点 都 包 含 相 同 的 文 件 版 本 这 些 文 件 在 群 集 对 等 节 点 的 配 置 中 具 有 最 高 优 先 级, 这 将 在 下 一 节 中 介 绍 有 关 如 何 跨 对 等 节 点 分 布 配 置 的 更 多 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 更 新 通 用 对 等 节 点 配 置 Splunk 如 何 确 定 优 先 顺 序 本 小 节 将 对 优 先 顺 序 和 上 下 文 的 概 念 进 行 介 绍 对 于 按 目 录 名 称 排 序 的 列 表, 请 参 阅 将 在 本 主 题 稍 后 部 分 介 绍 的 目 录 优 先 顺 序 摘 要 全 局 上 下 文 内 的 优 先 顺 序 : 23

24 当 上 下 文 为 全 局 时 ( 即, 其 中 没 有 应 用 或 用 户 上 下 文 ), 目 录 优 先 级 按 以 下 顺 序 下 降 : 1.System local 目 录 -- 最 高 优 先 级 2.App local 目 录 3.App default 目 录 4.System default 目 录 -- 最 低 优 先 级 使 用 全 局 配 置 时 ( 例 如 inputs.conf),splunk 首 先 使 用 来 自 system/local 中 文 件 副 本 的 属 性 然 后 查 找 app 目 录 中 文 件 的 副 本, 追 加 在 其 中 找 到 的 属 性, 但 忽 略 已 在 system/local 中 发 现 的 属 性 最 后, 对 于 在 系 统 级 或 应 用 级 都 未 显 示 分 配 的 属 性, 为 其 分 配 system/default 目 录 中 文 件 的 默 认 值 注 意 : 群 集 对 等 节 点 具 有 扩 展 的 优 先 顺 序, 下 一 节 将 对 此 进 行 介 绍 群 集 对 等 节 点 的 优 先 顺 序 对 于 群 集 对 等 节 点, 全 局 上 下 文 会 考 虑 一 些 额 外 的 对 等 节 点 特 定 ("slave-app") 目 录 这 些 目 录 包 含 一 些 在 所 有 对 等 节 点 之 间 都 相 同 的 应 用 和 配 置 以 下 是 扩 展 的 群 集 对 等 节 点 优 先 顺 序 : 1.Slave-app local 目 录 ( 仅 适 用 于 群 集 对 等 节 点 )-- 最 高 优 先 级 2.System local 目 录 3.App local 目 录 4.Slave-app default 目 录 ( 仅 适 用 于 群 集 对 等 节 点 ) 5.App default 目 录 6.System default 目 录 -- 最 低 优 先 级 带 有 群 集 对 等 节 点, 并 对 所 有 对 等 节 点 通 用 的 自 定 义 设 置 (slave-app local 目 录 中 的 那 些 设 置 ) 具 有 最 高 优 先 级 应 用 或 用 户 上 下 文 内 的 优 先 顺 序 有 应 用 或 用 户 上 下 文 时, 目 录 优 先 级 为 从 user 降 至 app 降 至 system: 1. 当 前 用 户 的 User 目 录 -- 最 高 优 先 级 2. 当 前 运 行 的 应 用 的 App 目 录 (local, 后 跟 default) 3. 所 有 其 他 应 用 的 App 目 录 (local, 后 跟 default)-- 仅 适 用 于 导 出 设 置 4.System 目 录 (local, 后 跟 default)-- 最 低 优 先 级 例 如,savedsearches.conf 中 的 属 性 可 在 所 有 三 个 层 级 设 置 : 用 户 级 应 用 级 和 系 统 级 Splunk 始 终 使 用 用 户 级 属 性 的 值 ( 如 果 有 ), 优 先 于 在 应 用 级 或 系 统 级 设 置 的 相 同 属 性 的 值 应 用 目 录 名 称 如 何 影 响 优 先 顺 序 注 意 : 就 大 多 数 实 际 用 途 而 言, 此 小 节 中 的 信 息 可 能 无 关 紧 要, 但 如 果 您 需 要 强 制 按 某 一 顺 序 进 行 评 估 或 者 故 障 排 除, 则 此 信 息 非 常 有 用 确 定 应 用 目 录 集 合 中 的 优 先 级 时,Splunk 使 用 ASCII 排 序 顺 序 应 用 目 录 中 名 称 包 含 "A" 的 文 件 比 应 用 目 录 中 名 称 包 含 "B" 的 文 件 的 优 先 级 高, 以 此 类 推 此 外, 以 大 写 字 母 开 始 的 所 有 应 用 的 优 先 级 将 高 于 以 小 写 字 母 开 头 的 所 有 应 用, 这 是 由 ASCII 排 序 顺 序 决 定 的 ( 例 如,"A" 的 优 先 级 高 于 "Z", 但 "Z" 的 优 先 级 高 于 "a" ) 此 外, 数 字 表 示 的 目 录 的 优 先 级 比 字 母 表 示 的 目 录 的 优 先 级 高, 按 词 典 顺 序 进 行 评 估, 而 不 是 按 数 字 顺 序 进 行 评 估 例 如, 按 降 序 排 列 的 优 先 顺 序 : $SPLUNK_HOME/etc/apps/myapp1 $SPLUNK_HOME/etc/apps/myapp10 $SPLUNK_HOME/etc/apps/myapp2 $SPLUNK_HOME/etc/apps/myapp20... $SPLUNK_HOME/etc/apps/myappApple $SPLUNK_HOME/etc/apps/myappBanana $SPLUNK_HOME/etc/apps/myappZabaglione... $SPLUNK_HOME/etc/apps/myappapple $SPLUNK_HOME/etc/apps/myappbanana $SPLUNK_HOME/etc/apps/myappzabaglione... 注 意 : 在 应 用 或 用 户 上 下 文 中 确 定 优 先 顺 序 时, 目 前 正 在 运 行 的 应 用 的 目 录 优 先 于 所 有 其 他 应 用 的 目 录, 与 目 录 的 命 名 方 式 无 关 此 外, 其 他 应 用 方 面 的 检 查 应 当 仅 针 对 于 导 出 设 置 24

25 目 录 优 先 顺 序 摘 要 总 而 言 之, 目 录 优 先 级 顺 序 从 最 高 到 最 低 如 下 : 全 局 上 下 文 : $SPLUNK_HOME/etc/system/local/* $SPLUNK_HOME/etc/apps/A/local/*... $SPLUNK_HOME/etc/apps/z/local/* $SPLUNK_HOME/etc/apps/A/default/*... $SPLUNK_HOME/etc/apps/z/default/* $SPLUNK_HOME/etc/system/default/* 全 局 上 下 文 - 仅 供 群 集 对 等 节 点 使 用 : $SPLUNK_HOME/etc/slave-apps/A/local/*... $SPLUNK_HOME/etc/slave-apps/z/local/* $SPLUNK_HOME/etc/system/local/* $SPLUNK_HOME/etc/apps/A/local/*... $SPLUNK_HOME/etc/apps/z/local/* $SPLUNK_HOME/etc/slave-apps/A/default/*... $SPLUNK_HOME/etc/slave-apps/z/default/* $SPLUNK_HOME/etc/apps/A/default/*... $SPLUNK_HOME/etc/apps/z/default/* $SPLUNK_HOME/etc/system/default/* 重 要 提 示 : 在 slave-apps/[local default] 目 录 中, 特 殊 _cluster 子 目 录 的 优 先 级 要 高 于 以 小 写 字 母 开 头 的 所 有 应 用 子 目 录 ( 如 anapp) 但 是, 该 子 目 录 的 优 先 级 要 低 于 以 大 写 字 母 开 头 的 所 有 应 用 ( 如 AnApp) 这 是 由 下 划 线 ("_") 字 符 在 ASCII 排 序 顺 序 中 的 位 置 决 定 的 应 用 或 用 户 上 下 文 : $SPLUNK_HOME/etc/users/* $SPLUNK_HOME/etc/apps/Current_running_app/local/* $SPLUNK_HOME/etc/apps/Current_running_app/default/* $SPLUNK_HOME/etc/apps/A/local/*, $SPLUNK_HOME/etc/apps/A/default/*,... $SPLUNK_HOME/etc/apps/z/local/*, $SPLUNK_HOME/etc/apps/z/default/* (but see note below) $SPLUNK_HOME/etc/system/local/* $SPLUNK_HOME/etc/system/default/* 重 要 提 示 : 在 应 用 或 用 户 上 下 文 中, 目 前 正 在 运 行 的 应 用 的 所 有 配 置 文 件 优 先 于 所 有 其 他 应 用 的 文 件 此 规 则 也 适 用 于 该 应 用 的 local 和 default 目 录 因 此, 如 果 当 前 上 下 文 是 应 用 C,Splunk 会 先 评 估 $SPLUNK_HOME/etc/apps/C/local/* 和 $SPLUNK_HOME/etc/apps/C/default/*, 然 后 再 评 估 其 他 应 用 的 local 或 default 目 录 此 外, 如 本 主 题 中 有 关 设 置 应 用 权 限 的 说 明 所 述, 只 有 当 其 他 应 用 的 配 置 数 据 已 通 过 该 应 用 的 default.meta 文 件 全 局 导 出 时,Splunk 才 会 查 看 这 些 数 据 同 理, 请 注 意, 只 有 当 特 定 用 户 登 录 或 执 行 搜 索 时, 才 会 评 估 /etc/users/ 属 性 优 先 顺 序 工 作 原 理 示 例 本 属 性 优 先 顺 序 示 例 使 用 props.conf props.conf 文 件 与 众 不 同, 因 为 其 上 下 文 可 以 是 全 局, 也 可 以 是 应 用 或 用 户, 具 体 取 决 于 Splunk 评 估 文 件 的 时 机 Splunk 同 时 在 索 引 时 间 ( 全 局 ) 和 搜 索 时 间 ( 应 用 或 用 户 ) 评 估 props.conf 假 设 $SPLUNK_HOME/etc/system/local/props.conf 包 含 以 下 段 落 : [source::/opt/locke/logs/error*] 25

26 sourcetype = fatal-error 而 $SPLUNK_HOME/etc/apps/t2rss/local/props.conf 包 含 同 一 段 落 的 另 一 个 版 本 : [source::/opt/locke/logs/error*] sourcetype = t2rss-error SHOULD_LINEMERGE = True BREAK_ONLY_BEFORE_DATE = True 始 终 应 用 t2rss 中 的 行 合 并 属 性 分 配, 因 为 这 些 属 性 分 配 仅 出 现 发 生 在 该 文 件 的 该 版 本 中 但 是 与 sourcetype 属 性 有 冲 突 在 /system/local 版 本 中,sourcetype 的 值 为 "fatal-error" 在 /apps/t2rss/local 版 本 中, 属 性 值 为 "t2rsserror" 由 于 这 是 在 索 引 时 间 应 用 的 sourcetype 分 配,Splunk 使 用 全 局 上 下 文 确 定 目 录 优 先 顺 序 在 全 局 上 下 文 中,Splunk 将 最 高 优 先 级 指 定 给 system/local 中 的 属 性 分 配 因 此,sourcetype 属 性 指 定 值 "fatal-error" 该 文 件 最 终 的 内 部 合 并 版 本 如 下 : [source::/opt/locke/logs/error*] sourcetype = fatal-error SHOULD_LINEMERGE = True BREAK_ONLY_BEFORE_DATE = True 配 置 文 件 及 其 上 下 文 列 表 如 上 所 述,Splunk 根 据 配 置 文 件 所 运 行 的 上 下 文 ( 全 局 或 应 用 或 用 户 ) 来 确 定 文 件 的 评 估 方 式 通 常 而 言, 影 响 数 据 输 入 建 立 索 引 或 部 署 活 动 的 文 件 为 全 局 ; 影 响 搜 索 活 动 的 文 件 通 常 有 应 用 或 用 户 上 下 文 props.conf 和 transforms.conf 文 件 在 应 用 或 用 户 或 全 局 上 下 文 中 都 可 以 评 估, 具 体 情 况 取 决 于 Splunk 是 在 索 引 时 间 还 是 在 搜 索 时 间 使 用 这 两 个 文 件 全 局 配 置 文 件 admon.conf authentication.conf authorize.conf crawl.conf deploymentclient.conf distsearch.conf indexes.conf inputs.conf outputs.conf pdf_server.conf procmonfilters.conf props.conf -- global and app/user context pubsub.conf regmonfilters.conf report_server.conf restmap.conf searchbnf.conf segmenters.conf server.conf serverclass.conf serverclass.seed.xml.conf source-classifier.conf sourcetypes.conf sysmon.conf tenants.conf transforms.conf -- global and app/user context user-seed.conf -- special case: Must be located in /system/default web.conf wmi.conf 应 用 或 用 户 配 置 文 件 26

27 alert_actions.conf app.conf audit.conf commands.conf eventdiscoverer.conf event_renderers.conf eventtypes.conf fields.conf limits.conf literals.conf macros.conf multikv.conf props.conf -- global and app/user context savedsearches.conf tags.conf times.conf transactiontypes.conf transforms.conf -- global and app/user context user-prefs.conf workflow_actions.conf 配 置 优 先 顺 序 和 其 他 问 题 的 故 障 排 除 Splunk 的 配 置 文 件 系 统 支 持 位 于 许 多 不 同 位 置 的 许 多 重 叠 配 置 文 件 实 现 这 种 程 度 灵 活 性 的 代 价 是 判 定 您 的 Splunk 安 装 中 使 用 哪 个 配 置 选 项 的 哪 个 值 有 时 非 常 复 杂 如 果 您 想 查 找 在 给 定 情 况 下 会 使 用 什 么 配 置 设 置 的 一 些 提 示, 请 阅 读 故 障 排 除 手 册 中 的 使 用 btool 排 除 配 置 故 障 单 个 props.conf 文 件 中 的 属 性 优 先 顺 序 除 了 要 了 解 属 性 优 先 顺 序 在 文 件 之 间 如 何 工 作 之 外, 您 有 时 还 需 要 考 虑 在 单 个 props.conf 文 件 中 的 属 性 优 先 级 影 响 同 一 目 标 的 一 组 段 落 中 的 优 先 顺 序 当 两 个 或 多 个 段 落 指 定 影 响 同 一 项 目 的 行 为 时, 按 段 落 的 ASCII 顺 序 评 估 项 目 例 如, 假 设 您 在 props.conf 中 指 定 以 下 段 落 : [source::.../bar/baz] attr = val1 [source::.../bar/*] attr = val2 将 使 用 attr 在 第 二 个 段 落 中 的 值, 因 为 该 值 的 路 径 在 ASCII 顺 序 中 较 高, 因 此 相 对 来 说 优 先 覆 盖 props.conf 中 的 默 认 属 性 优 先 级 有 方 法 覆 盖 props.conf 中 的 默 认 ASCII 优 先 级 使 用 priority 键 为 给 定 段 落 指 定 较 高 或 较 低 的 优 先 级 例 如, 假 设 有 以 下 来 源 : source::az 和 以 下 模 式 : [source::...a...] sourcetype = a [source::...z...] sourcetype = z 在 本 案 例 中, 默 认 行 为 是 由 模 式 "source::...a..." 提 供 的 设 置 优 先 于 由 "source::...z..." 提 供 的 设 置 因 此,sourcetype 的 值 为 "a" 要 覆 盖 此 默 认 ASCII 顺 序, 使 用 priority 键 : 27

28 [source::...a...] sourcetype = a priority = 5 [source::...z...] sourcetype = z priority = 10 为 第 二 个 段 落 分 配 更 高 的 优 先 级 导 致 sourcetype 的 值 为 "z" 还 需 要 考 虑 另 一 个 属 性 优 先 顺 序 问 题 默 认 情 况 下, 与 字 符 串 逐 字 匹 配 的 段 落 ( 字 面 匹 配 段 落 ) 优 先 于 正 则 表 达 式 模 式 匹 配 段 落 这 是 由 于 其 priority 键 的 默 认 值 : 0 是 模 式 匹 配 段 落 的 默 认 值 100 是 字 面 匹 配 段 落 的 默 认 值 因 此, 字 面 匹 配 段 落 始 终 优 先 于 模 式 匹 配 段 落, 除 非 通 过 显 式 设 置 priority 键 来 更 改 行 为 您 可 以 使 用 priority 键 来 解 决 相 同 类 型 的 模 式 之 间 的 冲 突, 例 如 sourcetype 模 式 或 host 模 式 但 是,priority 键 不 影 响 规 范 类 型 之 间 的 优 先 顺 序 例 如,source 模 式 优 先 于 host 和 sourcetype 模 式, 而 不 管 priority 键 值 具 有 多 个 属 性 分 配 的 事 件 的 优 先 顺 序 props.conf 文 件 设 置 属 性, 以 按 host source 或 sourcetype( 有 时 还 有 事 件 类 型 ) 处 理 单 个 事 件 因 此, 一 个 事 件 的 默 认 字 段 host source 或 sourcetype 有 可 能 相 同 属 性 设 置 不 同 值 优 先 顺 序 如 下 : source host sourcetype 您 可 能 想 要 覆 盖 默 认 props.conf 设 置 例 如, 假 设 您 要 跟 踪 mylogfile.xml, 默 认 标 记 为 sourcetype = xml_file 此 配 置 只 要 更 改 就 会 重 新 索 引 整 个 文 件, 即 使 您 手 动 指 定 另 一 个 sourcetype, 因 为 property 通 过 source 来 设 置 要 覆 盖 此 设 置, 通 过 source 添 加 显 式 配 置 : [source::/var/log/mylogfile.xml] CHECK_METHOD = endpoint_md5 如 何 复 制 和 编 辑 配 置 文 件 编 辑 配 置 文 件 之 前, 请 确 保 您 熟 悉 以 下 内 容 : 要 了 解 默 认 配 置 文 件 其 所 在 位 置 以 及 您 编 辑 的 配 置 文 件 应 置 于 何 处, 请 参 阅 配 置 文 件 目 录 要 了 解 文 件 结 构 以 及 如 何 设 置 要 编 辑 的 属 性, 请 参 阅 配 置 文 件 结 构 要 了 解 如 何 分 层 放 置 和 组 合 跨 多 个 目 录 的 配 置 文 件, 请 参 阅 配 置 文 件 优 先 顺 序 复 制 默 认 文 件 当 您 决 定 在 文 件 中 自 定 义 属 性 时, 应 在 首 选 目 录 ( 如 $SPLUNK_HOME/etc/system/local) 中 创 建 文 件 的 副 本 请 勿 复 制 默 认 配 置 文 件 的 整 个 内 容, 仅 复 制 要 自 定 义 的 属 性 即 可 这 是 为 了 确 保 对 默 认 值 的 任 何 Splunk 更 新 都 能 正 确 分 布 注 意 : 确 保 在 将 文 件 复 制 到 本 地 目 录 时 为 其 授 予 写 入 权 限 例 如, 假 设 您 要 使 用 自 签 名 SSL 证 书 并 且 需 要 将 路 径 重 定 向 到 server.conf 中 的 新 证 书 您 将 <SSL> 段 落 以 及 其 他 个 段 落 复 制 到 server.conf 的 新 副 本 中, 但 仅 编 辑 SSL 段 落, 其 他 段 落 保 留 其 默 认 值 在 更 高 版 本 中,Splunk 更 改 server.conf 中 的 默 认 端 口 设 置 之 一 ( 即, 您 之 前 复 制 但 未 编 辑 的 段 落 之 一 ) 下 次 升 级 Splunk 时, 具 有 属 性 值 的 server.conf 的 新 版 本 会 覆 盖 默 认 目 录 中 的 server.conf 版 本 然 而, 由 于 Splunk 优 先 考 虑 本 地 目 录 中 的 版 本 的 配 置 设 置, 因 此 写 入 到 默 认 目 录 中 的 新 端 口 不 会 被 应 用 注 意 : 一 些 配 置 文 件 没 有 默 认 版 本 这 些 配 置 文 件 仍 有 您 用 于 创 建 副 本 的.spec 和.example 文 件 清 除 属 性 您 可 以 清 除 任 何 一 个 属 性, 方 法 是 将 属 性 值 设 置 为 空 值 例 如 : forwardedindex.0.whitelist = 28

29 这 样 可 覆 盖 该 属 性 以 前 保 存 的 所 有 值, 包 括 在 默 认 文 件 中 设 置 的 值, 从 而 使 系 统 认 为 值 已 完 全 取 消 设 置 使 用 注 释 您 可 以 在 配 置 文 件 中 插 入 注 释 方 法 是 使 用 符 号 : This stanza forwards some log files. [monitor:///var/log] 重 要 提 示 : 从 左 侧 开 始 注 释 不 要 将 注 释 与 段 落 或 属 性 放 在 同 一 行 上 : [monitor:///var/log] This is a really bad place to put your comment. 例 如, 对 于 以 下 属 性 a_setting = 5 5 is the best number 这 会 将 a_setting 属 性 设 置 为 "5 5 is the best number", 从 而 造 成 意 外 的 结 果 在 Windows 和 其 他 非 UTF-8 操 作 系 统 上 创 建 和 编 辑 配 置 文 件 Splunk 平 台 使 用 ASCII/UTF-8 编 码 的 配 置 文 件 对 于 UTF-8 不 是 默 认 字 符 集 的 操 作 系 统 ( 例 如 Windows), 要 配 置 文 本 编 辑 器 以 写 入 该 格 式 的 文 件 更 改 配 置 文 件 之 后 何 时 重 新 启 动 Splunk Enterprise 本 页 面 尚 在 制 作 中 ; 预 计 近 期 更 新 频 繁 通 过 配 置 文 件 对 Splunk Enterprise 进 行 更 改 时, 您 可 能 需 要 重 新 启 动 Splunk Enterprise 以 使 更 改 生 效 注 意 : 在 Splunk Web 中 进 行 的 更 改 需 要 重 新 启 动 的 可 能 性 很 小 这 是 因 为 Splunk Web 自 动 更 新 基 本 配 置 文 件 并 将 更 改 通 知 运 行 中 的 Splunk 实 例 (splunkd) 本 主 题 提 供 指 导 原 则 来 帮 助 您 确 定 是 否 在 更 改 后 重 新 启 动 更 改 是 否 需 要 重 新 启 动 取 决 于 多 个 因 素, 本 主 题 并 不 提 供 明 确 结 论 始 终 查 阅 配 置 文 件 或 其 参 考 主 题, 了 解 特 定 更 改 是 否 需 要 重 新 启 动 有 关 配 置 文 件 的 完 整 列 表 以 及 每 个 文 件 所 涵 盖 内 容 的 概 述, 请 参 阅 本 手 册 中 的 配 置 文 件 列 表 重 新 启 动 转 发 器 的 时 间 如 果 您 更 改 重 型 转 发 器 的 配 置 文 件, 则 必 须 重 新 启 动 转 发 器, 但 不 必 重 新 启 动 接 收 索 引 器 如 果 更 改 是 已 经 配 置 为 更 改 后 重 新 启 动 的 已 部 署 应 用 的 一 部 分, 转 发 器 则 会 自 动 重 新 启 动 何 时 重 新 启 动 Splunk Web 必 须 重 新 启 动 Splunk Web, 才 能 对 Splunk Web 访 问 启 用 或 禁 用 SSL 重 新 启 动 splunkd 的 时 间 正 常 情 况 下, 修 改 下 列 项 的 所 有 操 作 均 需 重 新 启 动 : 影 响 索 引 器 和 索 引 建 立 行 为 的 设 置 和 属 性 影 响 用 户 和 角 色 的 设 置 和 属 性 影 响 Splunk 核 心 配 置 的 设 置 和 属 性 索 引 更 改 注 意 : 通 过 UI 和 CLI 进 行 影 响 索 引 建 立 的 设 置 时, 这 些 设 置 不 需 要 重 新 启 动 而 且 会 立 即 生 效 索 引 时 间 字 段 提 取 时 间 戳 属 性 用 户 和 角 色 更 改 在 配 置 文 件 中 进 行 的 任 何 用 户 和 角 色 更 改 均 需 重 新 启 动, 包 括 : 29

30 LDAP 配 置 ( 如 果 您 在 Splunk Web 中 进 行 这 些 更 改, 则 可 重 新 加 载 更 改 而 不 必 重 新 启 动 ) 密 码 更 改 角 色 功 能 更 改 Splunk Enterprise 本 机 验 证 更 改, 如 用 户 到 角 色 的 映 射 系 统 更 改 影 响 系 统 设 置 或 服 务 器 状 态 的 所 有 操 作 均 需 重 新 启 动 许 可 授 权 更 改 Web 服 务 器 配 置 更 新 常 规 索 引 器 设 置 ( 最 小 可 用 磁 盘 空 间 默 认 服 务 器 名 称 等 ) 更 改 常 规 设 置 ( 如 端 口 设 置 ) 更 改 更 改 转 发 器 的 输 出 设 置 更 改 splunk 服 务 器 操 作 系 统 中 的 时 区 (Splunk Enterprise 在 启 动 时 从 基 本 操 作 系 统 检 索 其 本 地 时 区 ) 创 建 搜 索 头 池 安 装 某 些 应 用 可 能 需 要 重 新 启 动 查 阅 您 要 安 装 的 每 个 应 用 的 文 档 不 需 要 重 新 启 动 的 Splunk Enterprise 更 改 应 用 于 搜 索 时 间 处 理 的 设 置 会 立 即 生 效, 而 且 不 需 要 重 新 启 动 这 是 因 为 搜 索 在 重 新 加 载 配 置 的 单 独 进 程 中 运 行 例 如, 每 次 搜 索 都 会 重 新 读 取 查 找 表 标 记 和 事 件 类 型 这 包 括 ( 但 不 限 于 ) 下 列 更 改 : 查 找 表 字 段 提 取 知 识 对 象 标 记 事 件 类 型 包 含 搜 索 时 间 操 作 的 文 件 包 括 ( 但 不 限 于 ): macros.conf props.conf 在 搜 索 时 会 重 新 读 取 对 搜 索 时 间 字 段 提 取 的 更 改 transforms.conf savedsearches.conf( 如 果 更 改 创 建 了 一 个 端 点, 则 必 须 重 新 启 动 ) 要 查 看 您 的 端 点 类 型, 在 浏 览 器 中 输 入 以 下 链 接 : 如 何 重 新 加 载 文 件 要 重 新 加 载 transforms.conf: for new lookup file definitions that reside within transforms.conf for new field transforms/extractions that reside within transforms.conf 要 重 新 加 载 authentication.conf, 使 用 Splunk Web 转 到 设 置 > 访 问 控 制 > 验 证 方 法, 然 后 单 击 重 新 加 载 验 证 配 置 按 钮 此 操 作 刷 新 验 证 缓 存, 但 不 断 开 当 前 用 户 连 接 索 引 器 群 集 重 新 启 动 要 了 解 索 引 器 群 集 重 新 启 动 使 用 滚 动 重 新 启 动 的 方 法 和 时 间 等 相 关 信 息, 请 参 阅 管 理 索 引 器 和 索 引 器 群 集 中 的 何 时 以 及 如 何 重 新 启 动 群 集 使 用 案 例 在 复 杂 情 况 下, 重 新 启 动 Splunk Enterprise 最 为 保 险 下 面 是 一 些 方 案 的 示 例, 其 中 您 能 够 ( 或 不 能 够 ) 避 免 重 新 启 动 方 案 : 在 props.conf 和 search.conf 中 编 辑 搜 索 或 索 引 时 间 转 换 是 否 重 新 启 动 取 决 于 更 改 是 否 与 索 引 时 间 设 置 或 搜 索 时 间 设 置 有 关 索 引 时 间 设 置 包 括 : 30

31 换 行 时 间 戳 分 析 搜 索 时 间 设 置 主 要 涉 及 字 段 提 取 和 创 建, 不 需 要 重 新 启 动 任 何 索 引 时 间 的 更 改 仍 需 要 重 新 启 动 因 此, 例 如 : 1. 如 果 props.conf 和 tranforms.conf 被 配 置 为 在 索 引 上 进 行 搜 索 时 间 转 换, 则 您 无 需 做 任 何 操 作 对 于 任 何 搜 索 时 间 的 更 改, 每 次 您 运 行 搜 索 时 Splunk 会 重 新 加 载 props.conf 和 transforms.conf 2. 如 果 在 重 型 转 发 器 上 搜 索 时 间 发 生 更 改, 您 必 须 重 新 启 动 该 转 发 器 如 果 更 改 是 已 部 署 应 用 ( 配 置 为 更 改 后 重 新 启 动 ) 的 一 部 分, 则 其 会 自 动 重 新 启 动 3. 如 果 它 是 索 引 器 上 的 索 引 时 间 转 换, 您 必 须 重 新 启 动 索 引 器 以 添 加 更 改 方 案 : 编 辑 savedsearches.conf 和 新 搜 索 以 创 建 REST 端 点 您 必 须 重 新 启 动 索 引 器 以 集 成 新 端 点 方 案 : 构 建 或 修 改 TA 或 应 用 如 果 构 建 的 TA 或 应 用 会 影 响 transforms.conf props.conf 或 查 找, 在 使 用 新 的 更 改 在 Splunk Web 上 进 行 搜 索 之 前, 您 必 须 重 新 启 动 Splunk Enterprise 配 置 文 件 列 表 下 面 是 与 每 个 配 置 文 件 相 关 联 可 用 的 一 些 规 范 和 示 例 文 件 的 列 表 一 些 配 置 文 件 没 有 规 范 或 示 例 文 件 ; 在 编 辑 这 些 没 有 随 附 规 范 和 示 例 文 件 的 配 置 文 件 之 前, 请 联 系 支 持 部 门 重 要 提 示 : 不 要 在 $SPLUNK_HOME/etc/system/default/ 中 编 辑 任 何 配 置 文 件 的 默 认 副 本 在 $SPLUNK_HOME/etc/system/local/ 或 $SPLUNK_HOME/etc/apps/<app_name>/local 中 创 建 并 编 辑 文 件 的 副 本 文 件 用 途 alert_actions.conf 创 建 告 警 app.conf 配 置 自 定 义 应 用 audit.conf 配 置 审 计 和 事 件 哈 希 本 功 能 在 该 版 本 中 不 可 用 authentication.conf 在 Splunk 的 内 置 验 证 或 LDAP 之 间 切 换, 以 及 配 置 LDAP authorize.conf 配 置 角 色, 包 括 具 体 访 问 控 制 collections.conf 为 应 用 配 置 KV 存 储 集 合 commands.conf 将 搜 索 命 令 连 接 到 自 定 义 搜 索 脚 本 crawl.conf 配 置 crawl 查 找 新 数 据 源 datamodels.conf 用 于 配 置 数 据 模 型 的 属 性 / 值 对 default.meta.conf 创 建 应 用 特 定 的 default.meta 文 件 时 使 用 的 模 板 文 件 deploymentclient.conf 指 定 部 署 服 务 器 的 客 户 端 的 行 为 distsearch.conf 指 定 分 布 式 搜 索 的 行 为 eventdiscoverer.conf 设 置 类 型 学 习 程 序 ( 事 件 发 现 ) 的 忽 略 条 件 event_renderers.conf 配 置 event-rendering 属 性 eventtypes.conf 创 建 事 件 类 型 定 义 fields.conf 创 建 多 值 字 段, 并 为 索 引 字 段 添 加 搜 索 功 能 indexes.conf 管 理 和 配 置 索 引 设 置 inputs.conf 设 置 数 据 输 入 instance.cfg.conf 指 定 和 管 理 Splunk 特 定 实 例 的 设 置 这 非 常 方 便, 例 如, 在 标 识 转 发 器 进 行 内 部 搜 索 时 limits.conf 为 搜 索 命 令 设 置 各 种 限 制 ( 例 如 最 大 结 果 大 小 或 并 发 实 时 搜 索 ) 31

32 literals.conf 自 定 义 在 Splunk Web 中 显 示 的 文 本, 例 如 搜 索 错 误 字 符 串 macros.conf 定 义 和 使 用 搜 索 宏 multikv.conf 为 类 似 表 的 事 件 (ps netstat ls) 配 置 提 取 规 则 outputs.conf 设 置 转 发 行 为 pdf_server.conf 配 置 Splunk PDF 服 务 器 此 PDF 服 务 器 应 用 在 Splunk Enterprise 6.0 中 已 弃 用 此 功 能 在 Splunk Enterprise 6.2 中 已 删 除 procmon-filters.conf 监 视 Windows 进 程 数 据 props.conf 设 置 索 引 属 性 配 置, 包 括 时 区 偏 移 自 定 义 来 源 类 型 规 则 和 模 式 冲 突 优 先 级 同 时, 还 会 将 转 换 映 射 到 事 件 属 性 pubsub.conf 定 义 部 署 服 务 器 的 自 定 义 客 户 端 restmap.conf 创 建 自 定 义 REST 端 点 savedsearches.conf 定 义 普 通 报 表 计 划 的 报 表 和 告 警 searchbnf.conf 配 置 搜 索 助 理 segmenters.conf 配 置 分 段 server.conf 为 Splunk 的 后 端 (Splunkd 与 Splunk Web 之 间 的 通 信 ) 启 用 SSL, 并 指 定 证 书 位 置 serverclass.conf 定 义 与 部 署 服 务 器 一 起 使 用 的 部 署 服 务 器 类 serverclass.seed.xml.conf 配 置 如 何 在 启 动 时 为 装 有 应 用 的 部 署 客 户 端 播 种 source-classifier.conf 创 建 来 源 类 型 ( 例 如 敏 感 数 据 ) 时 的 忽 略 条 件 sourcetypes.conf 用 于 存 储 来 源 类 型 学 习 规 则 的 机 器 生 成 的 文 件 tags.conf 配 置 字 段 的 标 记 tenants.conf 配 置 多 租 户 环 境 中 的 部 署 ( 已 弃 用 ) times.conf 定 义 在 搜 索 应 用 中 使 用 的 自 定 义 时 间 范 围 transactiontypes.conf 为 交 易 搜 索 添 加 附 加 交 易 类 型 transforms.conf 配 置 对 数 据 导 入 执 行 的 正 则 表 达 式 转 换 在 带 有 props.conf 的 串 联 中 使 用 ui-prefs.conf 为 视 图 更 改 UI 首 选 项 包 括 为 时 间 范 围 挑 选 器 更 改 默 认 最 早 及 最 晚 数 值 user-seed.conf 设 置 默 认 用 户 和 密 码 viewstates.conf 使 用 此 文 件 在 Splunk 中 设 置 IU 视 图 ( 如 图 表 ) web.conf 配 置 Splunk Web, 启 用 HTTPS wmi.conf 设 置 Windows management instrumentation (WMI) 输 入 workflow_actions.conf 配 置 工 作 流 动 作 配 置 参 数 和 数 据 管 道 数 据 在 从 原 始 输 入 转 换 为 可 搜 索 事 件 过 程 中 经 历 了 个 阶 段 此 过 程 称 为 数 据 管 道, 由 以 下 四 个 阶 段 构 成 : 输 入 分 析 索 引 搜 索 数 据 管 道 的 每 个 阶 段 依 赖 于 不 同 的 配 置 文 件 参 数 知 道 某 一 特 定 参 数 作 用 于 哪 个 阶 段 可 让 您 确 定 在 Splunk 部 署 拓 扑 中 需 要 设 置 该 参 数 的 位 置 数 据 管 道 的 外 观 32

33 下 图 概 述 了 数 据 管 道 : 在 分 布 式 部 署 手 册 中 的 数 据 如 何 通 过 Splunk: 数 据 管 道 中 详 细 介 绍 了 数 据 管 道 Splunk Enterprise 组 件 如 何 与 管 道 的 阶 段 相 关 联 一 个 或 多 个 Splunk Enterprise 组 件 可 以 执 行 每 个 管 道 阶 段 例 如, 通 用 转 发 器 重 型 转 发 器 或 索 引 器 可 以 执 行 输 入 阶 段 数 据 仅 在 每 个 阶 段 经 历 一 次, 因 此, 每 个 配 置 仅 属 于 一 个 组 件, 特 别 是 处 理 该 阶 段 的 部 署 中 的 第 一 个 组 件 例 如, 假 定 您 通 过 一 组 通 用 转 发 器 让 数 据 进 入 到 系 统, 通 用 转 发 器 转 发 数 据 到 中 间 重 型 转 发 器, 然 后 重 型 转 发 器 又 向 上 转 发 数 据 到 索 引 器 在 这 种 情 况 下, 该 数 据 的 输 入 阶 段 发 生 在 通 用 转 发 器 中, 且 分 析 阶 段 发 生 在 重 型 转 发 器 中 数 据 管 道 阶 段 可 以 执 行 该 角 色 的 组 件 输 入 分 析 索 引 搜 索 索 引 器 通 用 转 发 器 重 型 转 发 器 索 引 器 重 型 转 发 器 轻 型 / 通 用 转 发 器 ( 仅 与 INDEXED_EXTRACTIONS 属 性 结 合 使 用 ) 索 引 器 索 引 器 搜 索 头 33

34 在 哪 里 配 置 参 数 取 决 于 特 定 部 署 中 的 组 件 例 如, 在 大 多 数 情 况 中, 您 可 以 在 索 引 器 中 设 置 分 析 参 数 但 是, 如 何 您 让 重 型 转 发 器 向 索 引 器 提 供 数 据, 则 在 重 型 转 发 器 中 设 置 分 析 参 数 同 样, 您 在 搜 索 头 ( 如 果 有 ) 中 设 置 搜 索 参 数 但 是, 如 果 您 没 有 部 署 专 用 搜 索 头, 则 在 索 引 器 中 设 置 搜 索 参 数 有 关 更 多 信 息, 请 参 阅 分 布 式 部 署 手 册 中 的 组 件 和 数 据 管 道 配 置 参 数 如 何 与 管 道 的 阶 段 相 关 联 下 面 的 配 置 参 数 与 使 用 这 些 参 数 的 管 道 阶 段 的 对 应 表 并 不 详 尽 结 合 此 信 息 以 及 您 对 特 定 部 署 中 哪 个 Splunk 组 件 执 行 各 个 阶 段 的 了 解, 您 可 以 确 定 在 何 处 配 置 每 项 设 置 例 如, 如 果 您 要 使 用 通 用 转 发 器 来 获 取 输 入, 则 需 要 对 转 发 器 配 置 inputs.conf 参 数 但 是, 如 果 您 的 索 引 器 直 接 获 取 络 输 入, 则 需 要 对 索 引 器 配 置 这 些 络 相 关 的 inputs.conf 参 数 输 入 阶 段 分 析 阶 段 索 引 阶 段 搜 索 阶 段 inputs.conf props.conf CHARSET NO_BINARY_CHECK CHECK_METHOD sourcetype wmi.conf regmon-filters.conf props.conf LINE_BREAKER SHOULD_LINEMERGE BREAK_ONLY_BEFORE_DATE 和 所 有 其 他 行 合 并 设 置 TZ DATETIME_CONFIG TIME_FORMAT TIME_PREFIX 和 所 有 其 他 时 间 提 取 设 置 和 规 则 TRANSFORMS*, 其 中 包 括 按 事 件 队 列 筛 选 按 事 件 索 引 分 配 按 事 件 路 由 按 定 义 的 顺 序 应 用 SEDCMD* MORE_THAN* LESS_THAN* INDEXED_EXTRACTIONS transforms.conf 由 props.conf 中 的 TRANSFORMS* 子 句 引 用 的 段 落 LOOKAHEAD DEST_KEY WRITE_META DEFAULT_VALUE REPEAT_MATCH datetime.xml props.conf SEGMENTATION* indexes.conf segmenters.conf props.conf EXTRACT* REPORT* LOOKUP* KV_MODE FIELDALIAS* rename transforms.conf 由 props.conf 中 的 REPORT* 子 句 引 用 的 段 落 filename external_cmd 和 所 有 其 他 查 找 相 关 设 置 FIELDS DELIMS MV_ADD 查 找 文 件 夹 中 的 查 找 文 件 bin 文 件 夹 中 的 搜 索 和 查 找 脚 本 搜 索 命 令 和 查 找 脚 本 savedsearches.conf eventtypes.conf tags.conf commands.conf alert_actions.conf 34

35 macros.conf fields.conf transactiontypes.conf multikv.conf 其 他 配 置 设 置 有 一 些 设 置 在 分 布 式 Splunk 环 境 中 无 法 正 常 工 作 有 可 能 出 现 异 常, 其 中 包 括 : props.conf CHECK_FOR_HEADER LEARN_MODEL maxdist 这 些 设 置 是 在 分 析 阶 段 创 建 的, 但 需 要 将 生 成 的 配 置 移 动 到 搜 索 阶 段 配 置 位 置 备 份 配 置 信 息 Splunk 的 所 有 配 置 信 息 都 包 含 在 配 置 文 件 中 要 备 份 这 组 配 置 文 件, 可 以 创 建 $SPLUNK_HOME/etc/ 的 归 档 或 副 本 此 目 录 及 其 子 目 录 包 含 Splunk 安 装 的 所 有 默 认 和 自 定 义 设 置 以 及 所 有 应 用, 包 括 保 存 的 搜 索 用 户 帐 户 标 记 自 定 义 来 源 类 型 名 称 和 其 他 配 置 信 息 将 此 目 录 复 制 到 要 恢 复 的 新 Splunk 实 例 执 行 此 操 作 时 不 需 要 停 止 Splunk 有 关 配 置 文 件 的 更 多 信 息, 请 阅 读 关 于 配 置 文 件 备 份 群 集 主 节 点 如 果 您 正 在 使 用 索 引 复 制, 则 可 以 备 份 主 节 点 的 静 态 配 置 这 是 配 置 备 用 主 节 点 ( 可 以 在 主 要 主 节 点 发 生 故 障 时 进 行 接 管 ) 时 的 特 定 使 用 有 关 详 细 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 配 置 主 节 点 使 用 命 令 行 界 面 (CLI) 管 理 Splunk Enterprise 关 于 CLI 您 可 以 使 用 Splunk Enterprise 的 命 令 行 界 面 (CLI) 来 在 您 的 Splunk 服 务 器 上 监 视 配 置 和 执 行 搜 索 该 产 品 提 供 有 CLI 帮 助 说 明, 您 可 以 通 过 终 端 或 shell 界 面 进 行 访 问 本 主 题 会 介 绍 如 何 访 问 这 些 信 息 以 及 哪 些 命 令 可 供 使 用 如 何 访 问 CLI CLI 位 于 $SPLUNK_HOME/bin/splunk 中 要 访 问 Splunk CLI, 您 需 要 具 备 : Splunk 服 务 器 的 shell 访 问 权 限 ; 或 对 远 程 Splunk 服 务 器 相 应 端 口 的 访 问 权 限 如 果 您 具 有 管 理 员 或 root 权 限, 您 可 以 将 您 的 Splunk 安 装 的 顶 级 目 录 $SPLUNK_HOME/bin 添 加 到 shell 路 径 中, 以 简 化 CLI 访 问 此 示 例 适 用 于 在 默 认 位 置 安 装 Splunk 的 Linux/BSD/Solaris 用 户 : export SPLUNK_HOME=/opt/splunk export PATH=$SPLUNK_HOME/bin:$PATH 此 示 例 适 用 于 在 默 认 位 置 安 装 Splunk 的 Mac 用 户 : export SPLUNK_HOME=/Applications/Splunk export PATH=$SPLUNK_HOME/bin:$PATH 现 在, 您 可 以 使 用 如 下 方 式 来 调 用 CLI 命 令 :./splunk <command> 当 在 CLI 会 话 中 操 作 时, 要 设 置 $SPLUNK_HOME 环 境 变 量 : 在 *nix 中 :source /opt/splunk/bin/setsplunkenv 35

36 在 Windows 中 :splunk.exe envvars > setsplunkenv.bat & setsplunkenv.bat CLI 帮 助 文 档 如 果 您 具 有 管 理 员 权 限, 您 不 但 可 以 使 用 CLI 来 执 行 搜 索, 还 可 以 使 用 它 来 配 置 和 监 视 您 的 Splunk 服 务 器 ( 或 服 务 器 ) 用 于 配 置 和 监 视 Splunk 的 CLI 命 令 并 不 是 搜 索 命 令 搜 索 命 令 是 search 和 dispatch CLI 命 令 的 参 数 某 些 命 令 需 要 您 使 用 用 户 名 和 密 码 进 行 验 证, 或 者 指 定 目 标 Splunk 服 务 器 您 可 以 使 用 以 下 命 令 查 找 CLI 的 帮 助 信 息 :./splunk help 有 关 如 何 访 问 特 定 CLI 命 令 或 任 务 帮 助 的 更 多 信 息, 请 参 阅 本 手 册 中 的 获 取 CLI 相 关 帮 助 和 CLI 管 理 命 令 Mac 用 户 注 意 事 项 Mac OS X 需 要 您 具 有 超 级 用 户 权 限 以 运 行 那 些 访 问 系 统 文 件 或 目 录 的 任 何 命 令 请 使 用 sudo 或 "su -"( 在 新 shell 中 作 为 root) 来 运 行 CLI 命 令 建 议 使 用 sudo ( 用 户 "root" 默 认 情 况 下 未 启 用, 但 任 何 管 理 员 用 户 都 可 以 使 用 sudo ) 在 Windows 上 使 用 CLI 要 在 Windows 上 访 问 并 使 用 CLI 命 令, 首 先 应 以 管 理 员 身 份 运 行 cmd.exe 同 样, 如 果 您 正 在 使 用 Windows,Splunk 无 需 "./" 即 可 运 行 CLI 命 令 问 答 有 什 么 问 题 吗? 请 访 问 Splunk Answers 以 查 看 在 Splunk 社 区 中 围 绕 使 用 CLI 有 哪 些 问 题 和 解 答 获 取 CLI 相 关 帮 助 本 主 题 介 绍 如 何 访 问 Splunk 内 置 的 CLI 帮 助 参 考, 其 中 包 含 有 关 CLI 命 令 以 及 如 何 使 用 它 们 的 信 息 本 主 题 还 简 要 介 绍 了 通 用 参 数, 这 些 参 数 可 以 用 于 任 何 CLI 命 令 访 问 CLI 帮 助 参 考 如 果 您 需 要 查 找 某 个 CLI 命 令 或 其 语 法 信 息, 可 使 用 Splunk 内 置 的 CLI 帮 助 参 考 首 先, 您 可 以 使 用 help 命 令 来 访 问 默 认 的 帮 助 信 息 :./splunk help 此 命 令 将 返 回 一 个 对 象 的 列 表, 以 帮 助 您 访 问 更 多 特 定 的 CLI 帮 助 主 题, 例 如, 管 理 命 令 群 集 转 发 许 可 授 权 搜 索 等 通 用 参 数 某 些 命 令 需 要 您 使 用 用 户 名 和 密 码 进 行 验 证, 或 者 指 定 目 标 主 机 或 应 用 对 于 这 些 命 令, 您 可 以 使 用 以 下 通 用 参 数 之 一 :auth app 或 uri./splunk [command] [object] [-parameter <value> <value>]... [-app] [-owner] [-uri] [-auth] 参 数 描 述 app 指 定 要 运 行 命 令 的 应 用 或 命 名 空 间 ; 对 于 搜 索, 默 认 为 搜 索 应 用 auth 指 定 登 录 凭 据 来 执 行 要 求 登 录 时 所 需 的 命 令 owner 指 定 与 对 象 关 联 的 owner/user 上 下 文 ; 如 果 未 指 定, 则 默 认 为 当 前 登 录 的 用 户 uri 在 任 何 指 定 的 ( 远 程 )Splunk 服 务 器 上 执 行 命 令 app 在 CLI 中,app 是 一 个 适 用 于 许 多 命 令 的 对 象, 例 如 create app 或 enable app 不 过, 如 果 您 希 望 对 特 定 应 用 运 行 该 命 令, 您 也 可 以 将 其 作 为 参 数 添 加 到 某 个 CLI 命 令 中 语 法 : 36

37 ./splunk command object [-parameter value]... -app appname 例 如, 当 您 在 CLI 中 运 行 搜 索 时, 则 默 认 为 搜 索 应 用 如 果 想 要 在 另 一 应 用 中 运 行 搜 索 :./splunk search "eventype=error stats count by source" -deatach f -preview t -app unix auth 如 果 CLI 命 令 要 求 验 证,Splunk 将 提 示 您 提 供 用 户 名 和 密 码 您 还 可 以 使 用 -auth 标 记 来 与 命 令 一 起 传 递 这 些 信 息 当 您 需 要 运 行 某 个 要 求 不 同 于 当 前 登 录 用 户 的 执 行 权 限 的 命 令 时,auth 参 数 也 非 常 有 用 注 意 :auth 必 须 作 为 在 CLI 命 令 的 参 数 中 最 后 指 定 的 参 数 语 法 :./splunk command object [-parameter value]... -auth username:password uri 如 果 您 要 在 远 程 Splunk 服 务 器 上 运 行 命 令, 可 使 用 -uri 标 记 来 指 定 目 标 主 机 语 法 :./splunk command object [-parameter value]... -uri specified-server 通 过 以 下 格 式 来 指 定 目 标 Splunk 服 务 器 : [http https]://name_of_server:management_port 可 以 为 name_of_server 指 定 IP 地 址 支 持 IPv4 和 IPv6 格 式 ; 例 如,specified-server 可 以 使 用 : :80 或 "[2001:db8::1]:80" 默 认 情 况 下,splunkd 仅 在 IPv4 上 侦 听 要 启 用 IPv6 支 持, 请 参 阅 配 置 Splunk 以 使 用 IPv6 中 的 说 明 示 例 : 以 下 示 例 从 远 程 "splunkserver" 的 端 口 8089 返 回 搜 索 结 果./splunk search "host=fflanda error 404 *.gif" -auth admin -uri 有 关 您 可 以 在 远 程 服 务 器 上 运 行 的 CLI 命 令 的 更 多 信 息, 请 参 阅 本 章 中 的 下 一 个 主 题 有 用 的 帮 助 主 题 在 运 行 默 认 的 Splunk CLI 帮 助 时, 您 会 看 到 列 出 的 以 下 对 象 CLI 管 理 命 令 可 以 使 用 CLI 执 行 各 种 管 理 功 能, 例 如, 添 加 或 编 辑 输 入 更 新 配 置 设 置 和 搜 索 如 果 想 要 查 看 CLI 管 理 命 令 类 型 的 列 表, 请 键 入 :./splunk help commands 这 些 命 令 将 在 本 手 册 下 一 个 主 题 CLI 管 理 命 令 中 进 行 更 详 细 的 介 绍 群 集 的 CLI 帮 助 索 引 复 制 ( 也 称 为 群 集 ) 是 一 项 由 索 引 器 群 集 组 成 的 Splunk 功 能, 这 些 索 引 器 已 配 置 为 复 制 数 据 以 实 现 若 干 目 标 : 数 据 可 用 性 数 据 保 真 度 灾 难 容 错 和 获 得 改 进 的 搜 索 性 能 您 可 以 使 用 CLI 来 查 看 和 编 辑 群 集 主 节 点 或 群 集 对 等 节 点 上 的 群 集 配 置 要 获 得 与 群 集 相 关 的 命 令 和 参 数 的 列 表, 请 键 入 :./splunk help clustering 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 使 用 CLI 配 置 群 集 Splunk 控 制 的 CLI 帮 助 37

38 可 使 用 CLI 来 启 动 停 止 和 重 新 启 动 Splunk 服 务 器 (splunkd) 和 web (splunkweb) 进 程, 或 者 检 查 相 关 进 程 是 否 正 在 运 行 要 获 得 控 制 的 列 表, 请 键 入 :./splunk help controls 有 关 更 多 信 息, 请 参 阅 管 理 员 手 册 中 的 启 动 和 停 止 Splunk 数 据 管 理 的 CLI 帮 助 向 Splunk 添 加 数 据 时,Splunk 将 对 数 据 进 行 处 理 并 将 其 存 储 在 索 引 中 默 认 情 况 下, 您 提 供 给 Splunk 的 数 据 会 存 储 在 main 索 引 中, 但 您 可 以 使 用 CLI 为 Splunk 创 建 和 指 定 其 他 索 引, 以 用 于 其 他 数 据 导 入 要 查 看 用 于 管 理 索 引 和 数 据 存 储 区 的 对 象 和 命 令 的 列 表, 请 键 入 :./splunk help datastore./splunk help index 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 关 于 管 理 索 引 设 置 多 个 索 引 和 从 Splunk 删 除 索 引 和 数 据 分 布 式 搜 索 部 署 的 CLI 帮 助 可 使 用 CLI 查 看 和 管 理 分 布 式 搜 索 配 置 要 获 得 对 象 和 命 令 的 列 表, 请 键 入 :./splunk help distributed 有 关 分 布 式 搜 索 的 信 息, 请 阅 读 分 布 式 搜 索 手 册 中 的 关 于 分 布 式 搜 索 转 发 和 接 收 的 CLI 帮 助 Splunk 部 署 可 包 括 数 十 个 或 数 百 个 将 数 据 转 发 到 一 个 或 多 个 接 收 器 的 转 发 器 可 使 用 CLI 查 看 和 管 理 数 据 转 发 配 置 要 获 得 转 发 对 象 和 命 令 的 列 表, 请 键 入 :./splunk help forwarding 有 关 更 多 信 息, 请 参 阅 转 发 数 据 手 册 中 的 关 于 转 发 和 接 收 搜 索 和 实 时 搜 索 的 CLI 帮 助 您 还 可 以 使 用 CLI 来 运 行 历 史 搜 索 和 实 时 搜 索 可 以 使 用 以 下 命 令 访 问 Splunk 搜 索 和 实 时 搜 索 的 帮 助 页 面 :./splunk help search./splunk help rtsearch 此 外, 还 可 以 使 用 search-commands search-fields 和 search-modifiers 对 象 来 访 问 各 自 的 帮 助 说 明 和 语 法 :./splunk help search-commands./splunk help search-fields./splunk help search-modifiers 注 意 :Splunk CLI 将 空 格 解 释 为 换 行 对 于 包 含 多 个 单 词 的 主 题 名 称, 应 在 单 词 之 间 使 用 短 划 线 要 了 解 有 关 使 用 CLI 搜 索 数 据 的 更 多 信 息, 请 参 阅 搜 索 参 考 手 册 中 的 关 于 CLI 搜 索 和 CLI 搜 索 语 法 以 及 搜 索 手 册 中 的 CLI 中 的 实 时 搜 索 和 报 表 CLI 管 理 命 令 本 主 题 将 介 绍 CLI 管 理 命 令, 也 就 是 用 于 管 理 和 配 置 Splunk 服 务 器 和 分 布 式 部 署 的 命 令 有 关 访 问 CLI 的 信 息 以 及 CLI 帮 助 中 所 含 内 容 的 信 息, 请 参 阅 上 一 主 题 获 取 CLI 相 关 帮 助 如 果 您 要 查 找 如 何 从 CLI 运 行 搜 索 的 详 细 信 息, 请 参 阅 搜 索 参 考 手 册 中 的 关 于 CLI 搜 索 您 的 Splunk 角 色 配 置 决 定 了 您 可 以 执 行 哪 些 操 作 ( 命 令 ) 多 数 操 作 需 要 您 具 备 Splunk 管 理 员 身 份 有 关 设 置 和 管 理 Splunk 用 户 与 角 色 的 更 多 信 息, 请 参 阅 管 理 员 手 册 中 的 关 于 用 户 和 角 色 主 题 Splunk CLI 命 令 语 法 CLI 命 令 的 一 般 语 法 为 :./splunk <command> [<object>] [[-<parameter>] <value>]... 38

39 请 注 意 以 下 事 项 : 某 些 命 令 不 需 要 对 象 或 参 数 某 些 命 令 具 有 可 由 其 值 单 独 指 定 的 默 认 参 数 命 令 对 象 和 示 例 命 令 是 您 可 以 执 行 的 操 作 您 在 对 象 上 执 行 操 作 命 令 对 象 示 例 add exec, forward-server, index, licenser-pools, licenses, master, monitor, oneshot, saved-search, search-server, tcp, udp, user 1. 向 来 源 /var/log 中 添 加 监 视 目 录 和 文 件 输 入./splunk add monitor /var/log/ 2. 向 实 例 ( 搜 索 头 在 其 间 进 行 搜 索 ) 列 表 中 添 加 另 一 个 主 节 点./splunk add cluster-master - secret testsecret -multisite false' anonymize 来 源 1. 取 代 位 于 /tmp/messages 的 文 件 中 的 标 识 数 据, 如 用 户 名 和 IP 地 址./splunk anonymize file - source /tmp/messages 2. 使 用 name-terms( 包 含 常 见 英 文 名 列 表 的 文 件 ) 使 Mynames.txt 匿 名./splunk anonymize file - source /tmp/messages - name_terms $SPLUNK_HOME/bin/Mynames.txt apply cluster-bundle 1. 在 对 等 节 点 上 激 活 已 验 证 的 软 件 包./splunk apply clusterbundle 2.Skip-validation 是 一 个 可 选 参 数, 可 配 置 其 来 跳 过 在 主 节 点 和 对 等 节 点 上 的 软 件 包 验 证./splunk apply clusterbundle --skipvalidation</code> clean all, eventdata, globaldata, inputdata, userdata, kvstore 1. 从 Splunk 安 装 中 删 除 数 据 eventdata 指 索 引 为 原 始 日 志 文 件 的 导 出 事 件./splunk clean eventdata 2.globaldata 指 主 机 标 记 和 来 源 类 型 别 名 39./splunk clean globaldata

40 cmd btool, classify, locktest, locktool, parsetest, pcregextest, regextest, searchtest, signtool, walklex 1. 运 行 带 有 各 种 环 境 变 量 设 置 的 splunk btool inputs list 命 令 字 符 串 运 行 splunk envvars 以 查 看 设 置 了 哪 些 环 境 变 量./splunk cmd btool inputs list 2. 显 示 bin 目 录 的 内 容./splunk cmd /bin/ls Create app 1. 根 据 模 板 构 建 mynewapp./splunk create app mynewapp -template sample_app createssl diag disable 无 无 app, boot-start, deploy-client, deploy-server, dist-search, index, listen, local-index, maintenance-mode, shcluster-maintenancemode, perfmon, webserver, web-ssl, wmi 1. 在 群 集 中 对 等 节 点 上 禁 用 维 护 模 式 必 须 在 主 节 点 上 调 用 './splunk disable maintenance-mode' 2. 禁 用 logs1 集 合./splunk disable eventlog logs1 display app, boot-start, deploy-client, deploy-server, dist-search, jobs, listen, local-index 1. 为 所 有 应 用 显 示 状 态 信 息, 如 启 用 / 禁 用./splunk display app 2. 为 unix 应 用 显 示 状 态 信 息./splunk display app unix edit app, cluster-config, shcluster-config, exec, index, licenserlocalslave, licenser-groups, monitor, saved-search, searchserver, tcp, udp, user 1. 编 辑 当 前 的 群 集 配 置./splunk edit cluster-config -mode slave -site site2 2. 编 辑 /var/log 中 的 监 视 目 录 输 入, 并 且 只 从 该 文 件 的 结 尾 读 取./splunk edit monitor /var/log -follow-only true enable app, boot-start, deploy-client, deploy-server, dist-search, index, listen, local-index, maintenance-mode, shcluster-maintenancemode, perfmon, webserver, web-ssl, wmi 1. 在 群 集 中 对 等 节 点 上 设 置 维 护 模 式 必 须 在 主 节 点 上 调 用 './splunk enable maintenance-mode' 启 用 col1 集 合

41 ./splunk enable perfmon col1 export eventdata, user data 1. 将 数 据 从 Splunk 服 务 器 导 出 到 /tmp/apache_raw_404_logs 中./splunk export eventdata - index my_apache_data -dir /tmp/apache_raw_404_logs - host localhost -terms "404 html" fsck help repair, scan, clear-bloomfilter 无 import userdata 1. 从 目 录 /tmp/export.dat 导 入 用 户 帐 户 数 据./splunk import userdata - dir /tmp/export.dat install app 1. 从 foo.tar 安 装 应 用 到 本 地 Splunk 服 务 器./splunk install app foo.tar 2. 从 foo.tgz 安 装 应 用 到 本 地 Splunk 服 务 器./splunk install app foo.tgz list cluster-buckets, cluster-config, cluster-generation, cluster-peers, deploy-clients, excess-buckets, exec, forward-server, index, inputstatus, licenser-groups, licenser-localslave, licensermessages, licenser-pools, licenser-slaves, licenser-stacks, licenses, jobs, master-info, monitor, peer-info, peer-buckets, perfmon, saved-search, search-server, tcp, udp, user, wmi 1. 列 出 所 有 活 跃 的 监 视 目 录 和 文 件 输 入 这 显 示 当 前 或 最 近 被 splunkd 监 视 到 发 生 更 改 的 文 件 和 目 录./splunk list monitor 2. 列 出 所 有 堆 叠 间 的 所 有 许 可 证./splunk list licenses login,logout 无 offline 无 1. 用 于 以 不 影 响 现 有 搜 索 的 方 式 关 闭 对 等 节 点 主 节 点 为 数 据 桶 重 新 安 排 主 要 对 等 节 点, 并 在 设 置 了 enforcecounts 标 记 的 情 况 下 修 复 群 集 状 态./splunk offline 2. 因 为 使 用 了 --enforcecounts 标 记, 在 该 对 等 节 点 停 止 之 前 该 群 集 已 完 全 修 复./splunk offline --enforcecounts package app 1. 打 包 stubby 应 用 并 返 回 它 的 uri 41

42 ./splunk package app stubby rebuild refresh reload 无 deploy-clients ad, auth, deploy-server, index, listen, monitor, registry, script, tcp, udp, perfmon, wmi 1. 重 新 加 载 部 署 服 务 器, 整 个 加 载 或 通 过 服 务 器 类 加 载./splunk reload deployserver 2. 重 新 加 载 my_serverclass./splunk reload deployserver -class my_serverclass remove app, cluster-peers, excess-buckets, exec, forward-server, index, jobs, licenser-pools, licenses, monitor, saved-search, searchserver, tcp, udp, user 1. 从 实 例 ( 搜 索 头 在 其 间 进 行 搜 索 ) 列 表 中 移 除 群 集 主 节 点 使 用 testsecret 作 为 secret/pass4symmkey './splunk remove clustermaster - secret testsecret' 2. 移 除 Unix 应 用./splunk remove app unix rolling-restart rtsearch cluster-peers, shcluster-members app, batch, detach, earliest_time, header, id, index_earliest, index_latest, max_time, maxout, output, preview, rt_id, timeout, uri, wrap 1. 运 行 对 于 各 行 不 会 进 行 自 动 换 行 的 实 时 搜 索./splunk rtsearch 'error' - wrap false 2. 运 行 实 时 搜 索 正 如 使 用 传 统 的 搜 索 命 令 一 样 使 用 rtsearch./splunk rtsearch 'eventtype=webaccess error top clientip' search app, batch, detach, earliest_time, header, id, index_earliest, index_latest, latest_time, max_time, maxout, output, preview, timeout, uri, wrap 1. 使 用 通 配 符 作 为 搜 索 对 象 触 发 异 步 搜 索 并 显 示 搜 索 的 任 务 id 和 ttl./splunk search '*' -detach true 2. 使 用 eventtype=webaccess error 作 为 搜 索 对 象 行 的 长 度 超 过 终 端 宽 度 时 不 进 行 自 动 换 行./splunk search 'eventtype=webaccess error' -wrap 0 set datastore-dir, deploy-poll, default-hostname, default-index, minfreemb, servername, server-type, splunkd-port, web-port, 设 置 强 制 索 引 准 备 位

43 kvstore-port./splunk set indexing-ready 2. 设 置 bologna:1234 作 为 部 署 服 务 器 以 向 其 轮 询 更 新./splunk set deploy-poll bologna:1234 show config, cluster-bundle-status, datastore-dir, deploy-poll, defaulthostname, default-index, jobs, minfreemb, servername, splunkdport, web-port, kvstore-port 1. 显 示 当 前 日 志 级 别./splunk show log-level 2. 显 示 Splunk Enterprise 被 配 置 为 向 哪 个 部 署 服 务 器 轮 询./splunk show deploy-poll spool 无 start,stop,restart splunkd, splunkweb status splunkd, splunkweb validate index 1. 使 用 main 作 为 索 引 来 验 证 验 证 indexes.conf 中 指 定 的 索 引 路 径./splunk validate index main version 无 使 用 CLI 导 出 搜 索 结 果 您 可 以 使 用 CLI 导 出 大 量 的 搜 索 结 果 有 关 如 何 使 用 CLI 导 出 搜 索 结 果 的 信 息, 以 及 有 关 Splunk Enterprise 提 供 的 其 他 导 出 方 法 的 信 息, 请 参 阅 搜 索 手 册 中 的 导 出 搜 索 结 果 CLI 故 障 排 除 Splunk 的 CLI 还 包 含 可 帮 助 对 Splunk 问 题 进 行 故 障 排 除 的 工 具 可 以 使 用 Splunk CLI 命 令 cmd 调 用 这 些 工 具 :./splunk cmd <tool> 要 获 得 CLI 实 用 工 具 的 列 表, 请 参 阅 故 障 排 除 手 册 中 的 提 供 支 持 的 命 令 行 工 具 使 用 CLI 来 管 理 远 程 Splunk 服 务 器 您 可 以 对 任 何 CLI 命 令 使 用 uri 参 数, 以 便 将 此 命 令 发 往 另 一 个 Splunk 服 务 器, 并 在 您 的 本 地 服 务 器 上 查 看 结 果 本 主 题 介 绍 : 有 关 使 用 uri 参 数 的 语 法 您 无 法 远 程 使 用 的 CLI 命 令 注 意 : 从 起, 默 认 情 况 下 禁 止 管 理 员 用 户 的 远 程 CLI 访 问, 除 非 您 已 更 改 了 默 认 密 码 启 用 远 程 访 问 如 果 您 在 使 用 Splunk Free( 无 登 录 凭 据 ), 则 默 认 情 况 下 禁 止 远 程 访 问, 除 非 您 编 辑 $SPLUNK_HOME/etc/system/local/server.conf 并 设 置 以 下 值 : allowremotelogin=always 注 意 :add oneshot 命 令 工 作 于 本 地 服 务 器, 但 不 能 远 程 使 用 有 关 编 辑 配 置 文 件 的 更 多 信 息, 请 参 阅 本 手 册 中 的 关 于 配 置 文 件 43

44 将 CLI 命 令 发 往 远 程 服 务 器 对 任 何 CLI 命 令 使 用 uri 参 数 的 一 般 语 法 为 :./splunk command object [-parameter <value>]... -uri <specified-server> uri 值 specified-server 的 格 式 为 : [http https]://name_of_server:management_port 此 外,name_of_server 可 以 是 远 程 Splunk 服 务 器 的 完 全 解 析 域 名 或 IP 地 址 重 要 提 示 : 该 uri 值 是 您 在 远 程 Splunk 服 务 器 的 web.conf 定 义 的 mgmthostport 值 有 关 更 多 信 息, 请 参 阅 本 手 册 中 的 web.conf 参 考 有 关 CLI 的 更 多 一 般 信 息, 请 参 阅 本 手 册 中 的 关 于 CLI 和 获 取 CLI 相 关 帮 助 搜 索 远 程 服 务 器 以 下 示 例 从 远 程 "splunkserver" 的 端 口 8089 返 回 搜 索 结 果./splunk search "host=fflanda error 404 *.gif" -uri 有 关 使 用 CLI 来 执 行 搜 索 语 法 的 详 细 信 息, 请 参 阅 搜 索 参 考 手 册 中 的 关 于 CLI 搜 索 查 看 远 程 服 务 器 上 已 安 装 的 应 用 以 下 示 例 会 返 回 在 远 程 "splunkserver" 上 所 安 装 应 用 的 列 表./splunk display app -uri 更 改 您 的 默 认 URI 值 您 可 以 使 用 SPLUNK_URI 环 境 变 量 来 设 置 默 认 URI 值 如 果 您 将 此 值 更 改 为 远 程 服 务 器 的 URI, 则 在 每 次 要 访 问 远 程 服 务 器 时 无 需 包 含 uri 参 数 要 更 改 SPLUNK_URI 的 值, 键 入 : $ export SPLUNK_URI=[http https]://name_of_server:management_port For Unix shells C:\> set SPLUNK_URI=[http https]://name_of_server:management_port For Windows shell 对 于 上 述 示 例, 您 可 以 键 入 以 下 命 令 来 更 改 SPLUNK_URI 的 值 : $ export SPLUNK_URI= 您 无 法 远 程 运 行 的 CLI 命 令 除 了 控 制 服 务 器 的 命 令 之 外, 您 可 以 远 程 运 行 所 有 其 他 CLI 命 令 这 些 服 务 器 控 制 命 令 包 括 : start, stop, restart status, version 通 过 访 问 CLI 帮 助 参 考, 可 查 看 所 有 CLI 命 令 有 关 更 多 信 息, 请 参 阅 本 手 册 中 的 使 用 CLI 获 取 帮 助 自 定 义 CLI 登 录 横 幅 如 果 您 提 供 CLI 对 数 据 的 访 问 权 限, 则 可 能 需 要 自 定 义 登 录 横 幅 以 通 知 您 的 用 户 监 视 情 况 其 法 律 义 务 和 误 用 处 罚 也 可 以 为 您 的 CLI 登 录 添 加 其 他 安 全 性 ( 采 用 基 本 验 证 的 形 式 ) 要 创 建 自 定 义 登 录 横 幅 并 添 加 基 本 验 证, 请 将 下 列 段 落 添 加 到 本 地 server.conf 文 件 中 : [httpserver] cliloginbanner = <string> allowbasicauth = true false 44

45 basicauthrealm = <string> 对 于 cliloginbanner = <string> 创 建 系 统 在 提 示 输 入 验 证 凭 据 之 前 希 望 您 的 用 户 在 Splunk CLI 中 看 到 的 消 息, 如 访 问 策 略 信 息 默 认 值 是 无 消 息 要 创 建 多 行 横 幅, 请 将 各 行 置 于 逗 号 分 隔 列 表 中, 每 一 行 都 用 双 引 号 引 起 来 例 如 : cliloginbanner="line 1","Line 2","Line 3" 要 在 横 幅 文 本 中 包 括 双 引 号, 请 在 行 中 使 用 两 个 引 号 例 如 : cliloginbanner="this is a line that ""contains quote characters""!" 对 于 allowbasicauth = true false: 如 果 您 希 望 除 了 Splunk 的 现 有 (authtoken) 验 证 外, 客 户 端 还 需 使 用 HTTP Basic 验 证 对 Splunk 服 务 器 进 行 已 验 证 的 请 求, 则 将 此 值 设 置 为 true 这 对 允 许 有 规 划 地 访 问 REST 端 点 以 及 从 Web 浏 览 器 访 问 REST API 都 非 常 有 用 UI 或 CLI 则 不 需 要 此 设 置 默 认 值 为 true 对 于 basicauthrealm = <string>: 如 果 您 已 启 用 allowbasicauth, 请 使 用 此 属 性 添 加 在 提 示 凭 据 时 可 显 示 在 Web 浏 览 器 中 的 文 本 字 符 串 您 可 以 显 示 描 述 服 务 器 和 / 或 访 问 策 略 的 短 消 息 默 认 情 况 下, 显 示 的 文 本 为 "/splunk" 启 动 Splunk Enterprise 并 执 行 初 始 任 务 启 动 和 停 止 Splunk Enterprise 本 主 题 提 供 有 关 启 动 和 停 止 Splunk Enterprise 的 简 要 说 明 在 Windows 上 启 动 Splunk Enterprise 在 Windows 上,Splunk Enterprise 默 认 安 装 在 C:\Program Files\Splunk 中 Splunk 文 档 中 的 许 多 示 例 都 使 用 $SPLUNK_HOME 来 表 示 Splunk 安 装 目 录 如 果 您 将 Splunk Enterprise 安 装 在 默 认 目 录 中, 则 可 将 字 符 串 $SPLUNK_HOME( 在 Windows 上 为 %SPLUNK_HOME%) 替 换 为 C:\Program Files\Splunk Splunk Enterprise 安 装 了 两 个 服 务 :splunkd 和 splunkweb 正 常 操 作 时, 仅 splunkd 运 行, 处 理 所 有 Splunk Enterprise 操 作, 包 括 Splunk Web 界 面 要 更 改 这 种 情 况, 您 需 要 将 Splunk Enterprise 置 于 旧 模 式 中 请 参 阅 在 旧 模 式 中, 在 Windows 上 启 动 Splunk Enterprise 在 Windows 上, 您 可 以 通 过 以 下 方 法 之 一 来 启 动 和 停 止 Splunk: 1. 通 过 Windows 服 务 控 制 面 板 ( 从 Start -> Control Panel -> Administrative Tools -> Services 访 问 ) 来 启 动 和 停 止 Splunk Enterprise 进 程 服 务 器 守 护 程 序 和 Web 界 面 :splunkd Web 界 面 ( 仅 在 旧 模 式 中 ):splunkweb 在 正 常 操 作 时, 此 服 务 启 动, 并 在 收 到 启 动 请 求 时 立 即 退 出 2. 从 命 令 提 示 符 下, 使 用 NET START <service> 或 NET STOP <service> 命 令 来 启 动 和 停 止 Splunk Enterprise 服 务 : 服 务 器 守 护 程 序 和 Web 界 面 :splunkd Web 界 面 ( 仅 在 旧 模 式 中 ):splunkweb 在 正 常 操 作 时, 此 服 务 启 动, 并 在 收 到 启 动 请 求 时 立 即 退 出 3. 前 往 %SPLUNK_HOME%\bin 并 键 入 以 下 命 令, 即 可 同 时 启 动 停 止 或 重 新 启 动 这 两 个 进 程 : > splunk [start stop restart] 在 旧 模 式 中, 在 Windows 上 启 动 Splunk Enterprise 如 果 您 要 在 旧 模 式 中 运 行 Splunk Enterprise, 其 中 splunkd 和 splunkweb 都 运 行, 则 您 必 须 更 改 配 置 参 数 重 要 提 示 : 切 勿 永 久 在 传 统 模 式 下 运 行 Splunk Web 使 用 传 统 模 式 临 时 解 决 由 用 户 界 面 与 主 splunkd 服 务 的 新 集 成 引 入 的 问 题 一 旦 您 纠 正 此 问 题, 尽 快 将 Splunk Web 返 回 到 正 常 模 式 要 将 Splunk Enterprise 置 于 旧 模 式 : 1. 从 命 令 提 示 符, 转 到 %SPLUNK_HOME%\etc\system\default 2. 创 建 web.conf 的 副 本 并 将 其 放 入 %SPLUNK_HOME%\etc\system\local 中 45

46 3. 在 %SPLUNK_HOME%\etc\system\local 中 编 辑 web.conf 4. 在 web.conf 中, 将 appserverports 和 httpport 属 性 设 置 如 下 : [settings] appserverports = 0 httpport = 保 存 文 件 并 将 其 关 闭 6. 重 新 启 动 Splunk Enterprise splunkd 和 splunkweb 服 务 启 动 并 保 持 运 行 7. 通 过 浏 览 name>:<httpport> 和 输 入 凭 据, 登 录 Splunk Enterprise 要 恢 复 正 常 的 Splunk Enterprise 操 作 : 编 辑 %SPLUNK_HOME%\etc\system\local\web.conf 并 删 除 appserverports 和 httpport 属 性 在 UNIX 上 启 动 Splunk Enterprise Splunk Enterprise 安 装 时, 有 一 个 进 程 在 *nix,splunkd 上 正 常 操 作 时, 仅 splunkd 运 行, 处 理 所 有 Splunk Enterprise 操 作, 包 括 Splunk Web 界 面 要 更 改 这 种 情 况, 您 需 要 将 Splunk Enterprise 置 于 旧 模 式 中 请 参 阅 在 旧 模 式 中, 在 Unix 上 启 动 Splunk Enterprise 启 动 Splunk Enterprise 在 Splunk Enterprise 服 务 器 主 机 上, 从 shell 提 示 符 运 行 以 下 命 令 : splunk start 注 意 : 如 果 您 已 将 Splunk Enterprise 配 置 为 在 开 机 时 启 动, 则 您 应 该 使 用 服 务 命 令 启 动 Splunk Enterprise 这 将 确 保 在 init.d 脚 本 中 配 置 的 用 户 可 启 动 软 件 service splunk start 这 将 启 动 splunkd( 索 引 器 和 Splunk Web 界 面 ) 要 分 别 启 动 它 们, 键 入 : splunk start splunkd 或 ( 仅 在 旧 模 式 中 ) splunk start splunkweb 注 意 : 如 果 startwebserver 属 性 已 禁 用, 或 appserverports 属 性 在 web.conf 中 设 置 为 任 何 非 0 的 值, 则 手 动 启 动 splunkweb 不 会 进 行 任 何 操 作 splunkweb 过 程 将 不 会 在 这 两 者 中 的 任 一 情 况 中 启 动 请 参 阅 在 旧 模 式 中, 在 Unix 上 启 动 Splunk Enterprise 要 重 新 启 动 Splunk Enterprise(splunkd 或 splunkweb), 键 入 : splunk restart splunk restart splunkd ( 仅 在 旧 模 式 中 ) splunk restart splunkweb 在 旧 模 式 中, 在 Unix 上 启 动 Splunk Enterprise 如 果 您 要 在 splunkd 和 splunkweb 都 运 行 的 情 况 下 运 行 Splunk Enterprise, 则 您 必 须 将 Splunk Enterprise 置 于 旧 模 式 中 要 将 Splunk Enterprise 置 于 旧 模 式 : 1. 从 shell 提 示 符, 转 到 $SPLUNK_HOME/etc/system/default 2. 创 建 web.conf 的 副 本 并 将 其 放 入 $SPLUNK_HOME/etc/system/local 中 3. 在 $SPLUNK_HOME/etc/system/local 中 编 辑 web.conf 4. 在 web.conf 中, 将 appserverports 和 httpport 属 性 设 置 如 下 : 46

47 [settings] appserverports = 0 httpport = 保 存 文 件 并 将 其 关 闭 6. 重 启 启 动 Splunk Enterprise( 请 参 阅 在 Unix 上 启 动 Splunk Enterprise ) splunkd 和 splunkweb 服 务 启 动 并 保 持 运 行 7. 通 过 浏 览 name>:<httpport> 和 输 入 凭 据, 登 录 Splunk Enterprise 要 恢 复 正 常 的 Splunk Enterprise 操 作 : 编 辑 %SPLUNK_HOME%\etc\system\local\web.conf 并 删 除 appserverports 和 httpport 属 性 停 止 Splunk Enterprise 要 关 闭 Splunk Enterprise, 运 行 以 下 命 令 : splunk stop 要 分 别 停 止 splunkd 和 Splunk Web, 键 入 : splunk stop splunkd 或 ( 仅 在 旧 模 式 中 ) splunk stop splunkweb 检 查 Splunk 是 否 正 在 运 行 要 检 查 Splunk Enterprise 是 否 正 在 运 行, 在 服 务 器 主 机 上, 从 shell 提 示 符 下 键 入 以 下 命 令 : splunk status 您 应 当 可 以 看 到 以 下 输 出 : splunkd is running (PID: 3162). splunk helpers are running (PIDs: 3164). 如 果 Splunk Enterprise 在 旧 模 式 中 运 行, 则 您 将 在 输 出 中 看 到 额 外 一 行 : splunkweb is running (PID: 3216). 注 意 : 在 Unix 系 统 上, 您 必 须 以 运 行 Splunk Enterprise 的 用 户 身 份 登 录 以 运 行 splunk status 命 令 其 他 用 户 无 法 读 取 所 需 文 件 以 正 确 地 报 告 状 态 如 果 splunk status 决 定 服 务 运 行, 则 将 返 回 状 态 代 码 0 或 成 功 如 果 splunk status 决 定 服 务 不 运 行, 则 将 返 回 针 对 非 运 行 服 务 Linux Standard Base 值 3 其 他 值 可 能 会 显 示 splunk status 出 现 错 误 您 还 可 以 使 用 ps 来 检 查 正 在 运 行 的 Splunk Enterprise 进 程 : ps aux grep splunk grep -v grep Solaris 用 户 应 使 用 ps 的 -ef 参 数, 而 非 aux: ps -ef grep splunk grep -v grep 从 Splunk Web 重 新 启 动 Splunk Enterprise 您 还 可 以 从 Splunk Web 重 新 启 动 Splunk: 1. 导 航 到 系 统 > 服 务 器 控 件 2. 单 击 重 新 启 动 Splunk 这 将 重 新 启 动 splunkd 和 splunkweb 过 程 ( 仅 在 旧 模 式 中 ) 配 置 Splunk 在 开 机 时 启 动 47

48 在 Windows 上,Splunk 会 默 认 为 在 开 机 时 启 动 要 禁 用 此 特 性, 请 参 阅 本 主 题 末 尾 的 在 Windows 上 禁 用 开 机 时 启 动 在 *nix 平 台 上, 您 需 要 配 置 Splunk 以 在 开 机 时 启 动 在 *nix 平 台 上 启 用 开 机 时 启 动 Splunk 提 供 了 一 个 工 具, 它 可 以 更 新 您 的 系 统 启 动 配 置, 以 便 使 Splunk 能 够 在 系 统 启 动 时 启 动 该 工 具 会 创 建 适 当 的 init 脚 本 ( 或 做 出 类 似 的 配 置 更 改, 具 体 取 决 于 您 的 操 作 系 统 ) 以 root 用 户 身 份 运 行 : $SPLUNK_HOME/bin/splunk enable boot-start 如 果 不 以 根 用 户 身 份 启 动 Splunk, 您 可 以 传 递 -user 参 数 以 指 定 以 哪 个 用 户 身 份 启 动 Splunk 例 如, 如 果 要 以 用 户 bob 的 身 份 运 行 Splunk, 则 作 为 根 用 户, 您 可 以 运 行 : $SPLUNK_HOME/bin/splunk enable boot-start -user bob 如 果 您 打 算 禁 止 Splunk 在 开 机 时 启 动, 则 运 行 : $SPLUNK_HOME/bin/splunk disable boot-start 在 $SPLUNK_HOME/etc/init.d/README 中 提 供 了 更 多 相 关 信 息, 您 也 可 以 在 命 令 行 中 键 入 help boot-start Mac 用 户 注 意 事 项 Splunk 会 自 动 在 目 录 中 创 建 一 个 脚 本 和 配 置 文 件 :/System/Library/StartupItems 此 脚 本 在 系 统 开 机 时 运 行, 并 且 在 系 统 关 机 时 自 动 停 止 Splunk 注 意 : 如 果 您 在 使 用 Mac OS, 您 必 须 具 备 root 级 权 限 ( 或 使 用 sudo) 您 需 要 管 理 员 权 限 以 使 用 sudo 示 例 : 要 在 Mac OS 上 于 系 统 开 机 时 启 用 Splunk, 请 使 用 : 仅 CLI:./splunk enable boot-start CLI 和 sudo: sudo./splunk enable boot-start 在 Windows 上 禁 用 开 机 时 启 动 默 认 情 况 下,Splunk 会 在 您 启 动 Windows 计 算 机 时 自 动 启 动 您 可 以 配 置 Splunk 进 程 (splunkd 和 splunkweb) 以 从 Windows 服 务 控 制 面 板 中 手 动 启 动 它 们 安 装 您 的 许 可 证 首 次 下 载 Splunk 时, 将 要 求 您 注 册 通 过 注 册, 您 可 以 获 得 一 份 临 时 (60 天 ) 的 Enterprise Trial 许 可 证, 此 许 可 证 允 许 您 每 天 创 建 的 最 大 索 引 量 为 500 MB 该 许 可 证 会 包 含 在 您 的 下 载 中 Enterprise 许 可 证 启 用 以 下 功 能 : 多 个 用 户 帐 户 和 访 问 控 制 分 布 式 搜 索 和 数 据 路 由 部 署 管 理 有 关 Splunk 许 可 授 权 的 更 多 信 息, 请 参 阅 本 手 册 中 的 Splunk 许 可 授 权 如 何 运 作 从 哪 里 获 得 新 许 可 证? 48

49 当 您 请 求 新 的 许 可 证 时, 您 将 通 过 来 自 Splunk 的 电 子 邮 件 收 到 许 可 证 您 还 可 以 从 您 的 splunk.com 中 的 我 的 订 单 页 面 获 得 新 的 许 可 证 要 通 过 Splunk Web 来 安 装 和 更 新 您 的 许 可 证, 请 导 航 到 设 置 > 许 可 授 权, 并 遵 循 这 些 说 明 更 改 默 认 值 在 您 开 始 针 对 您 的 环 境 来 配 置 Splunk Enterprise 之 前, 请 查 看 下 列 默 认 设 置, 以 确 定 是 否 需 要 更 改 某 些 设 置 设 置 或 更 改 环 境 变 量 您 可 以 通 过 在 操 作 系 统 上 设 置 环 境 变 量 以 更 改 Splunk Enterprise 的 启 动 方 式 在 *nix 上, 使 用 setenv 或 export 命 令 来 设 置 特 定 变 量 例 如 : export SPLUNK_HOME = /opt/splunk02/splunk 如 果 您 想 要 永 久 地 设 置 环 境, 编 辑 相 应 的 shell 初 始 化 文 件, 并 为 您 希 望 Splunk Enterprise 启 动 时 使 用 的 变 量 添 加 条 目 在 Windows 上, 在 命 令 提 示 符 或 PowerShell 窗 口 中 使 用 set 环 境 变 量 : C:\> set SPLUNK_HOME = "C:\Program Files\Splunk" 如 果 您 想 要 永 久 地 设 置 环 境, 使 用 环 境 变 量 窗 口 以 添 加 条 目 到 用 户 变 量 列 表 中 有 个 可 用 的 环 境 变 量 : 环 境 变 量 用 途 SPLUNK_HOME Splunk Enterprise 安 装 目 录 的 完 全 限 定 路 径 SPLUNK_DB 目 录 ( 包 含 Splunk Enterprise 索 引 目 录 ) 的 完 全 限 定 路 径 SPLUNK_BINDIP SPLUNK_IGNORE_SELINUX SPLUNK_OS_USER SPLUNK_SERVER_NAME Splunk Enterprise 应 该 在 启 动 时 绑 定 以 接 受 连 接 的 系 统 IP 地 址 当 主 机 有 超 过 一 个 活 动 的 IP 地 址 时 非 常 有 用 指 示 Splunk Enterprise 在 启 用 了 SELinux 的 Linux 主 机 上 运 行 时 尝 试 启 动 默 认 情 况 下, 当 Splunk Enterprise 检 测 到 SELinux 处 于 活 跃 状 态 时 会 立 即 退 出 该 变 量 使 此 检 查 无 效, 并 能 用 于 已 配 置 SELinux 的 方 案 中 以 允 许 Splunk Enterprise 运 行 指 示 Splunk Enterprise 假 定 您 指 定 的 用 户 凭 据, 无 论 您 作 为 哪 个 用 户 启 动 它 例 如, 如 果 您 在 系 统 中 指 定 用 户 'splunk' 并 作 为 root 用 户 启 动 Splunk Enterprise, 它 采 用 'splunk' 用 户 的 权 限, 而 且 任 何 由 这 些 过 程 写 入 的 文 件 都 将 属 于 'splunk' 用 户 所 有 splunkd 服 务 ( 在 Windows 上 ) 或 过 程 ( 在 *nix 上 ) 的 名 称 切 勿 设 置 该 变 量, 除 非 您 知 道 您 在 做 什 么 49

50 SPLUNK_WEB_NAME splunkweb 服 务 ( 在 Windows 上 ) 或 过 程 ( 在 *nix 上 ) 的 名 称 切 勿 设 置 该 变 量, 除 非 您 知 道 您 在 做 什 么 您 也 可 以 通 过 编 辑 splunk-launch.conf( 在 一 些 情 况 下, 编 辑 web.conf) 来 为 每 个 实 例 编 辑 这 些 环 境 变 量 当 您 在 主 机 上 运 行 超 过 一 个 Splunk 实 例 时, 这 会 有 所 帮 助 请 参 阅 splunk-launch.conf 更 改 管 理 员 默 认 密 码 使 用 Enterprise 许 可 证 的 Splunk 具 有 默 认 的 管 理 帐 户 和 密 码,admin/changeme Splunk 强 烈 建 议 您 更 改 默 认 密 码 您 可 以 通 过 Splunk 的 CLI 或 Splunk Web 来 执 行 此 操 作 使 用 Splunk Web 要 更 改 管 理 员 默 认 密 码 : 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 用 户 和 验 证 部 分 中 单 击 访 问 控 制 4. 单 击 用 户 5. 单 击 admin 用 户 6. 更 新 密 码, 并 单 击 保 存 使 用 Splunk CLI Splunk CLI 命 令 为 : splunk edit user 重 要 提 示 : 您 必 须 首 先 使 用 现 有 密 码 进 行 验 证, 然 后 才 能 更 改 密 码 通 过 CLI 或 使 用 -auth 参 数 登 录 Splunk 例 如, 该 命 令 将 管 理 员 密 码 从 changeme 更 改 为 foo: splunk edit user admin -password foo -role admin -auth admin:changeme 注 意 : 在 *nix 操 作 系 统 上,shell 会 将 某 些 特 殊 字 符 解 释 为 命 令 指 令 您 必 须 对 这 些 字 符 进 行 转 义, 方 法 是 分 别 在 各 字 符 之 前 加 上 \ 或 者 将 密 码 用 单 引 号 (') 括 起 例 如 : splunk edit user admin -password 'fflanda$' -role admin -auth admin:changeme 或 splunk edit user admin -password fflanda\$ -role admin -auth admin:changeme 在 Windows 上, 使 用 脱 字 符 (^) 对 保 留 的 shell 字 符 进 行 转 义 或 者 将 密 码 用 双 引 号 (") 括 起 例 如 : splunk edit user admin -password "fflanda>" -role admin -auth admin:changeme 或 splunk edit user admin -password fflanda^> -role admin -auth admin:changeme 注 意 : 您 还 可 以 跨 服 务 器 一 次 重 置 所 有 密 码 有 关 过 程, 请 参 阅 跨 多 个 服 务 器 部 署 密 码 更 改 络 端 口 Splunk 在 安 装 时 配 置 两 个 端 口 : HTTP/HTTPS 端 口 该 端 口 为 Splunk Web 提 供 套 接 字 默 认 端 口 为 8000 管 理 端 口 该 端 口 用 于 与 splunkd 守 护 程 序 通 信 Splunk Web 在 此 端 口 上 与 splunkd 通 信 此 外, 命 令 行 界 面 和 任 何 来 自 其 他 服 务 器 的 分 布 式 连 接 也 均 采 用 此 端 口 默 认 端 口 为

51 重 要 提 示 : 在 安 装 期 间, 您 可 能 会 将 这 些 端 口 设 置 为 默 认 值 以 外 的 其 他 值 注 意 : 对 于 从 转 发 器 接 收 数 据 的 Splunk 实 例, 必 须 配 置 另 外 一 个 端 口, 即 接 收 器 端 口 它 们 使 用 此 端 口 来 侦 听 来 自 转 发 器 的 传 入 数 据 在 安 装 期 间 不 进 行 此 配 置 默 认 接 收 器 端 口 是 9997 有 关 更 多 信 息, 请 参 阅 转 发 数 据 手 册 中 的 启 用 接 收 器 使 用 Splunk Web 要 将 这 些 端 口 从 安 装 时 的 设 置 值 更 改 为 其 他 值 : 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 系 统 部 分 中 单 击 服 务 器 设 置 链 接 4. 单 击 常 规 设 置 5. 更 改 管 理 端 口 或 Web 端 口 的 值, 并 单 击 保 存 使 用 Splunk CLI 要 通 过 Splunk CLI 来 更 改 端 口 设 置, 请 使 用 CLI 命 令 set 例 如, 该 命 令 将 Splunk Web 端 口 设 为 9000: splunk set web-port 9000 该 命 令 将 splunkd 端 口 设 为 9089: splunk set splunkd-port 9089 更 改 默 认 Splunk 服 务 器 名 称 Splunk 服 务 器 名 称 设 置 同 时 控 制 在 Splunk Web 中 显 示 的 名 称 和 在 分 布 式 设 置 中 发 送 给 其 他 Splunk 服 务 器 的 名 称 默 认 名 称 来 自 DNS 或 Splunk 服 务 器 主 机 的 IP 地 址 使 用 Splunk Web 要 更 改 Splunk 服 务 器 名 称 : 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 系 统 部 分 中 单 击 系 统 设 置 链 接 4. 单 击 常 规 设 置 5. 更 改 Splunk 服 务 器 名 称 的 值, 并 单 击 保 存 使 用 Splunk CLI 要 通 过 CLI 来 更 改 服 务 器 名 称, 使 用 set servername 命 令 例 如, 该 命 令 将 服 务 器 名 称 设 置 为 foo: splunk set servername foo 更 改 数 据 存 储 区 位 置 数 据 存 储 区 是 Splunk 服 务 器 用 于 存 储 所 有 索 引 数 据 的 顶 级 目 录 注 意 : 如 果 您 更 改 此 目 录, 服 务 器 将 不 会 迁 移 旧 的 数 据 存 储 区 文 件 相 反, 它 会 从 新 的 位 置 重 新 开 始 要 将 您 的 数 据 迁 移 到 另 一 个 目 录, 请 遵 循 移 动 索 引 中 的 说 明 使 用 Splunk Web 要 更 改 数 据 存 储 区 位 置 : 51

52 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 系 统 部 分 中 单 击 系 统 设 置 链 接 4. 单 击 常 规 设 置 5. 更 改 索 引 路 径 中 的 路 径, 并 单 击 保 存 6. 使 用 CLI 重 新 启 动 Splunk 导 航 到 $SPLUNK_HOME/bin/ (*nix) 或 %SPLUNK_HOME%\bin (Windows), 然 后 运 行 以 下 命 令 : splunk restart 重 要 提 示 : 不 要 使 用 设 置 中 的 重 新 启 动 功 能 这 不 会 达 到 更 改 索 引 目 录 的 预 期 效 果 您 必 须 从 CLI 重 新 启 动 使 用 Splunk CLI 要 通 过 CLI 来 更 改 数 据 存 储 区 目 录, 使 用 set datastore-dir 命 令 例 如, 该 命 令 将 数 据 存 储 区 目 录 设 置 为 /var/splunk/: splunk set datastore-dir /var/splunk/ 设 置 最 小 可 用 磁 盘 空 间 最 小 可 用 磁 盘 空 间 设 置 会 控 制 在 Splunk 停 止 建 立 索 引 之 前, 数 据 存 储 区 位 置 中 磁 盘 空 间 不 足 的 最 低 情 况 如 果 可 用 磁 盘 空 间 增 加, 则 Splunk 会 恢 复 建 立 索 引 的 状 态 使 用 Splunk Web 要 设 置 最 小 可 用 磁 盘 空 间 : 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 系 统 部 分 中 单 击 系 统 设 置 链 接 4. 单 击 常 规 设 置 5. 更 改 可 用 磁 盘 空 间 低 于 此 值 时 暂 停 建 立 索 引 的 值, 并 单 击 保 存 使 用 Splunk CLI 要 通 过 CLI 更 改 最 小 可 用 空 间 值, 使 用 set minfreemb 命 令 例 如, 该 命 令 将 最 小 可 用 空 间 设 置 为 2000 MB: splunk set minfreemb 2000 设 置 默 认 的 时 间 范 围 搜 索 和 报 表 应 用 中 的 特 殊 搜 索 默 认 时 间 范 围 设 置 为 所 有 时 间 管 理 员 可 全 局 设 置 所 有 应 用 的 默 认 时 间 范 围 设 置 存 储 在 [general_default] 段 落 的 SPLUNK_HOME/etc/apps/user-prefs/local/user-prefs.conf 文 件 中 此 设 置 适 用 于 Splunk Apps 的 所 有 搜 索 页 面, 而 非 仅 搜 索 和 报 表 应 用 此 设 置 适 用 于 所 有 用 户 角 色 注 意 : 此 设 置 不 适 用 于 仪 表 板 使 用 Splunk Web 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 设 置 3. 在 系 统 部 分, 单 击 服 务 器 设 置 4. 单 击 搜 索 首 选 项 52

53 5. 在 默 认 搜 索 时 间 范 围 下 拉 菜 单 中, 选 择 要 使 用 的 时 间 并 单 击 保 存 ui_prefs.conf 文 件 中 的 时 间 范 围 设 置 对 于 特 定 应 用 程 序 或 用 户, 您 可 能 在 ui-prefs.conf 文 件 中 已 有 时 间 范 围 设 置 ui-prefs.conf 文 件 中 的 设 置 优 先 于 使 用 Splunk Web 对 全 局 默 认 时 间 范 围 所 做 的 所 有 设 置 但 如 果 想 要 所 有 应 用 程 序 和 用 户 都 使 用 全 局 默 认 时 间 范 围, 可 考 虑 移 除 ui-prefs.conf 文 件 中 的 设 置 其 他 默 认 设 置 在 Splunk Web 设 置 的 常 规 设 置 屏 幕 上 还 有 其 他 一 些 您 可 能 想 要 更 改 的 默 认 设 置 请 仔 细 浏 览 屏 幕 以 查 看 这 些 选 项 另 请 参 阅 关 于 配 置 文 件 user-prefs.conf ui-prefs.conf 将 Splunk 绑 定 到 某 个 IP 您 可 以 强 制 Splunk 将 其 端 口 绑 定 到 某 个 特 定 的 IP 地 址 默 认 情 况 下,Splunk 会 绑 定 到 IP 地 址 , 即 所 有 可 用 的 IP 地 址 更 改 Splunk 的 绑 定 IP 仅 适 用 于 Splunk 守 护 程 序 (splunkd), 其 侦 听 端 口 为 : TCP 端 口 8089( 默 认 ) 针 对 以 下 功 能 配 置 的 任 何 端 口 : SplunkTCP 输 入 TCP 或 UDP 输 入 要 将 Splunk Web 进 程 (splunkweb) 绑 定 到 特 定 IP, 请 使 用 web.conf 中 的 server.socket_host 设 置 暂 时 要 暂 时 更 改, 请 在 启 动 Splunk 之 前 设 置 环 境 变 量 SPLUNK_BINDIP=<ipaddress> 永 久 如 果 您 要 对 工 作 环 境 做 出 永 久 性 更 改, 请 修 改 $SPLUNK_HOME/etc/splunk-launch.conf 以 包 括 SPLUNK_BINDIP 属 性 和 <ipaddress> 值 例 如, 要 将 Splunk 端 口 绑 定 到 ( 仅 本 地 环 回 ),splunk-launch.conf 应 为 : Modify the following line to suit the location of your Splunk install. If unset, Splunk will use the parent of the directory this configuration file was found in SPLUNK_HOME=/opt/splunk SPLUNK_BINDIP= 重 要 提 示 :web.conf 中 mgmthostport 属 性 具 有 默 认 值 :8089 因 此, 如 果 您 将 SPLUNK_BINDIP 更 改 为 以 外 的 任 何 值, 则 还 必 须 更 改 mgmthostport 以 使 用 同 一 IP 地 址 例 如, 如 果 您 在 splunk-launch.conf 中 做 出 此 改 动 : SPLUNK_BINDIP= 您 还 必 须 在 web.conf 中 做 出 此 改 动 ( 假 设 管 理 端 口 为 8089): mgmthostport= :8089 请 查 看 web.conf 以 了 解 有 关 mgmthostport 属 性 的 更 多 信 息 IPv6 注 意 事 项 从 版 本 4.3 起,web.conf mgmthostport 设 置 已 扩 展 为 可 以 接 受 使 用 方 括 号 括 起 的 IPv6 地 址 因 此, 如 果 您 将 splunkd 53

54 配 置 为 仅 在 IPv6 上 侦 听 ( 通 过 本 手 册 中 的 配 置 Splunk 以 使 用 IPv6 所 描 述 的 server.conf 相 关 设 置 ), 则 必 须 将 其 从 :8089 更 改 为 [::1]:8089 配 置 Splunk 以 使 用 IPv6 本 主 题 介 绍 Splunk 对 IPv6 的 支 持, 以 及 如 何 配 置 它 在 执 行 本 主 题 中 的 程 序 之 前, 您 可 能 需 要 : 阅 读 本 手 册 中 的 关 于 配 置 文 件, 以 了 解 Splunk 配 置 文 件 如 何 工 作 阅 读 数 据 导 入 手 册 中 的 从 TCP 和 UDP 端 口 获 取 数 据 阅 读 本 手 册 中 的 "server.conf", 以 了 解 在 server.conf 配 置 文 件 中 可 用 的 选 项 参 考 阅 读 本 手 册 中 的 "inputs.conf", 以 了 解 在 inputs.conf 配 置 文 件 中 可 用 的 选 项 参 考 从 版 本 4.3 起,Splunk 开 始 支 持 IPv6 用 户 可 以 通 过 IPv6 络 连 接 到 Splunk Web 使 用 CLI 并 转 发 数 据 IPv6 平 台 支 持 所 有 Splunk 支 持 的 操 作 系 统 平 台 ( 请 参 阅 安 装 手 册 中 的 支 持 的 操 作 系 统 ) 都 会 支 持 使 用 IPv6 配 置, 但 以 下 操 作 系 统 除 外 : HPUX PA-RISC Solaris 8 和 9 AIX 配 置 Splunk 以 在 IPv6 络 上 侦 听 在 配 置 Splunk 以 在 IPv6 络 上 侦 听 时, 您 可 以 选 择 下 列 选 项 您 可 以 将 Splunk 配 置 为 : 仅 连 接 到 IPv6 地 址, 然 后 忽 略 来 自 DNS 的 所 有 IPv4 结 果 连 接 到 IPv4 和 IPv6 地 址, 且 首 先 尝 试 IPv6 地 址 首 先 尝 试 IPv4 地 址 仅 连 接 到 IPv4 地 址, 然 后 忽 略 来 自 DNS 的 所 有 IPv6 结 果 要 配 置 Splunk 以 在 IPv6 上 侦 听 : 编 辑 位 于 $SPLUNK_HOME/etc/system/local 中 的 server.conf 的 副 本, 添 加 以 下 内 容 : listenonipv6=[yes no only] yes 表 示 splunkd 将 侦 听 来 自 IPv6 和 IPv4 的 连 接 no 表 示 splunkd 将 只 在 IPv4 上 侦 听, 此 为 默 认 设 置 only 表 示 Splunk 将 只 在 IPv6 上 侦 听 传 入 连 接 connectusingipversion=[4-first 6-first 4-only 6-only auto] 4-first 表 示 splunkd 将 首 先 尝 试 连 接 到 IPv4 地 址, 如 果 失 败, 则 尝 试 连 接 到 IPv6 6-first 与 4-first 相 反 这 是 大 多 数 启 用 IPv6 的 客 户 端 应 用 ( 如 Web 浏 览 器 ) 采 取 的 策 略, 但 可 能 在 IPv6 部 署 的 早 期 阶 段 较 不 可 靠 4-only 表 示 splunkd 将 忽 略 来 自 DNS 的 任 何 IPv6 结 果 6-only 表 示 splunkd 将 忽 略 来 自 DNS 的 任 何 IPv4 结 果 auto 表 示 splunkd 将 根 据 listenonipv6 设 置 选 取 合 理 的 策 略 此 为 默 认 值 如 果 splunkd 只 在 IPv4 上 侦 听, 则 其 行 为 与 您 指 定 4-only 时 的 情 况 一 致 如 果 splunkd 只 在 IPv6 上 侦 听, 则 其 行 为 与 您 指 定 6-only 时 的 情 况 一 致 如 果 splunkd 同 时 在 二 者 上 侦 听, 则 其 行 为 与 您 指 定 6-first 时 的 情 况 一 致 重 要 提 示 : 这 些 设 置 只 会 影 响 DNS 查 找 例 如, 设 置 connectusingipversion = 6-first 将 不 会 导 致 采 用 显 式 IPv4 地 址 ( 如 "server= :9001") 的 段 落 无 法 工 作 如 果 您 在 IPv6 上 只 有 少 量 输 入, 并 且 不 打 算 针 对 整 个 部 署 启 用 IPv6 如 果 您 在 IPv6 上 只 有 少 量 数 据 来 源, 并 且 不 希 望 为 您 的 整 个 Splunk 部 署 启 用 它, 您 可 以 将 上 述 的 listenonipv6 设 置 添 加 到 inputs.conf 中 的 任 何 [udp], [tcp], [tcp-ssl], [splunktcp] 或 [splunktcp-ssl] 段 落 这 将 覆 盖 对 应 输 入 的 server.conf 中 相 同 名 称 的 设 置 在 IPv6 上 转 发 数 据 您 的 Splunk 转 发 器 可 以 在 IPv6 上 转 发 数 据 在 outputs.conf 中 支 持 以 下 设 置 : 在 [tcpout] 段 落 中 的 server 设 置 可 以 包 含 标 准 [host]:port 格 式 中 的 IPv6 地 址 [tcpout-server] 段 落 可 以 接 受 标 准 [host]:port 格 式 中 的 IPv6 地 址 在 [syslog] 段 落 中 的 server 设 置 可 以 包 含 标 准 [host]:port 格 式 中 的 IPv6 地 址 54

55 针 对 IPv6 的 分 布 式 搜 索 配 置 您 的 Splunk 分 布 式 搜 索 部 署 可 以 使 用 IPv6 在 distsearch.conf 中 支 持 以 下 设 置 : servers 设 置 可 以 包 含 标 准 [host]:port 格 式 中 的 IPv6 地 址 不 过,heartbeatMcastAddr 并 未 经 过 更 新 以 支 持 IPv6 地 址 该 设 置 已 在 Splunk 4.3 中 被 弃 用, 并 将 从 未 来 的 产 品 版 本 中 删 除 在 IPv6 上 访 问 Splunk Web 如 果 您 的 络 策 略 允 许 或 需 要 来 自 Web 浏 览 器 的 IPv6 连 接, 您 可 以 配 置 splunkweb 服 务 以 使 其 行 为 不 同 于 splunkd 从 版 本 4.3 起,web.conf 开 始 支 持 listenonipv6 设 置 该 设 置 的 行 为 与 其 在 server.conf 中 ( 如 上 所 述 ) 完 全 相 同, 但 仅 适 用 于 Splunk Web 现 有 的 web.conf mgmthostport 设 置 已 扩 展 为 可 以 接 受 使 用 方 括 号 括 起 的 IPv6 地 址 因 此, 如 果 您 将 splunkd 配 置 为 仅 在 IPv6 上 侦 听 ( 通 过 上 述 server.conf 中 的 设 置 ), 则 必 须 将 其 从 :8089 更 改 为 [::1]:8089 Splunk CLI 和 IPv6 Splunk CLI 可 以 在 IPv6 上 与 splunkd 通 信 如 果 您 在 web.conf 中 设 置 mgmthostport, 定 义 了 $SPLUNK_URI 环 境 变 量, 或 使 用 -uri 命 令 行 选 项, 则 可 以 做 到 这 一 点 当 使 用 -uri 选 项 时, 请 确 保 用 方 括 号 将 IPv6 IP 地 址 括 起, 并 用 引 号 将 整 个 地 址 和 端 口 引 起 来, 例 如 :-uri "[2001:db8::1]:80" IPv6 和 SSO 如 果 您 在 IPv6 上 使 用 SSO, 则 不 必 对 trustedip 属 性 使 用 方 括 号, 如 下 例 所 示 这 同 时 适 用 于 web.conf 和 server.conf 在 下 面 的 web.conf 示 例 中,mgmtHostPort 属 性 使 用 方 括 号, 但 trustedip 属 性 未 使 用 : [settings] mgmthostport = [::1]:8089 startwebserver = 1 listenonipv6=yes trustedip=2620:70:8000:c205:250:56ff:fe92:1c7,::1,2620:70:8000:c205::129 SSOMode = strict remoteuser = X-Remote-User tools.proxy.on = true 有 关 SSO 的 更 多 信 息, 请 参 阅 确 保 Splunk Enterprise 安 全 手 册 中 的 配 置 单 一 登 录 确 保 配 置 安 全 如 果 您 的 配 置 尚 不 安 全, 是 时 候 确 保 Splunk 和 您 的 数 据 安 全 了 采 取 适 当 的 步 骤 以 确 保 Splunk 减 少 攻 击 面 并 缓 解 大 多 数 漏 洞 的 风 险 和 影 响 安 装 后 应 采 取 的 一 些 重 要 措 施 : 设 置 用 户 和 角 色 您 可 以 使 用 Splunks 本 机 验 证 配 置 用 户 和 / 或 使 用 LDAP 管 理 用 户 请 参 阅 关 于 用 户 验 证 设 置 证 书 验 证 (SSL) Splunk 随 附 了 一 系 列 默 认 证 书, 这 些 证 书 应 被 替 换 以 确 保 验 证 安 全 我 们 提 供 添 加 SSL 加 密 和 验 证 以 及 配 置 安 全 验 证 的 指 导 原 则 和 进 一 步 说 明 确 保 Splunk Enterprise 安 全 手 册 提 供 可 确 保 Splunk 安 全 的 方 法 的 更 多 相 关 信 息 包 括 检 查 表 以 对 您 的 配 置 进 行 强 化 有 关 更 多 信 息, 请 参 阅 确 保 Splunk Enterprise 安 全 配 置 Splunk 许 可 证 Splunk Enterprise 许 可 授 权 如 何 运 作 Splunk Enterprise 从 您 指 定 的 来 源 获 取 数 据 并 加 以 处 理, 以 便 您 进 行 分 析 我 们 将 此 过 程 称 为 建 立 索 引 有 关 准 确 的 建 立 索 引 过 程 的 信 息, 请 参 阅 数 据 导 入 手 册 中 的 Splunk Enterprise 如 何 处 理 您 的 数 据 Splunk Enterprise 许 可 证 规 定 了 您 在 每 个 日 历 日 ( 从 前 一 天 午 夜 到 当 天 午 夜, 以 许 可 证 主 服 务 器 上 的 时 钟 为 准 ) 可 以 建 立 索 引 的 数 据 量 在 您 的 Splunk Enterprise 基 础 设 施 中, 任 何 执 行 索 引 操 作 的 主 机 都 必 须 获 得 相 应 的 许 可 授 权 您 可 以 使 用 本 地 安 装 55

56 的 许 可 证 来 运 行 独 立 的 索 引 器, 也 可 以 将 某 个 Splunk Enterprise 实 例 配 置 为 许 可 证 主 服 务 器, 并 从 其 他 被 配 置 为 许 可 证 从 服 务 器 的 索 引 器 中 建 立 许 可 证 池, 并 从 中 选 取 除 了 索 引 量 之 外, 访 问 某 些 Splunk Enterprise 功 能 也 需 要 Enterprise 许 可 证 有 关 不 同 许 可 证 类 型 的 更 多 信 息, 请 阅 读 本 手 册 中 的 Splunk 许 可 证 类 型 有 关 升 级 现 有 许 可 证 的 信 息, 请 参 阅 安 装 手 册 中 的 迁 移 到 新 的 Splunk 许 可 证 关 于 许 可 证 主 服 务 器 和 许 可 证 从 服 务 器 之 间 的 连 接 在 配 置 了 许 可 证 主 服 务 器 实 例, 并 为 其 添 加 了 许 可 证 从 服 务 器 之 后, 许 可 证 从 服 务 器 每 分 钟 会 向 许 可 证 主 服 务 器 告 知 一 次 其 使 用 情 况 如 果 由 于 某 种 原 因 无 法 连 接 到 许 可 证 主 服 务 器, 许 可 证 从 服 务 器 会 启 动 72 小 时 计 时 器 如 果 许 可 证 从 服 务 器 连 续 72 小 时 无 法 与 许 可 证 主 服 务 器 通 信, 则 许 可 证 从 服 务 器 上 的 搜 索 操 作 将 被 阻 止 ( 仍 然 继 续 执 行 索 引 操 作 ) 用 户 将 无 法 搜 索 许 可 证 从 服 务 器 上 的 索 引 数 据, 除 非 可 以 再 次 连 接 到 许 可 证 主 服 务 器 Splunk Enterprise 许 可 证 生 命 周 期 当 您 首 次 安 装 所 下 载 的 Splunk Enterprise 副 本 时, 该 实 例 使 用 Enterprise Trial 许 可 证, 试 用 期 为 60 天 该 许 可 证 允 许 您 在 60 天 的 试 用 期 内 使 用 Splunk Enterprise 的 所 有 功 能, 每 天 最 多 可 以 建 立 500 MB 的 数 据 索 引 一 旦 60 天 试 用 期 满 后 ( 并 且 您 没 有 购 买 并 安 装 Enterprise 许 可 证 ), 您 可 以 选 择 切 换 到 Splunk Free Splunk Free 包 括 Splunk Enterprise 的 功 能 子 集, 专 门 用 于 独 立 部 署 的 使 用 和 短 期 取 证 调 查 它 允 许 您 每 天 最 多 对 500 MB 数 据 建 立 索 引 而 不 会 过 期 重 要 提 示 :Splunk Free 不 包 括 验 证 计 划 搜 索 或 告 警 功 能 这 意 味 着 任 何 用 户 都 可 以 访 问 您 的 安 装 ( 通 过 Splunk Web 或 CLI) 而 无 需 提 供 凭 据 此 外, 计 划 的 已 保 存 搜 索 或 告 警 将 不 再 会 被 触 发 如 果 您 希 望 在 60 天 试 用 期 满 后 继 续 使 用 Splunk Enterprise 功 能, 则 必 须 购 买 Enterprise 许 可 证 请 联 系 Splunk 销 售 代 表 以 了 解 更 多 信 息 在 您 购 买 并 下 载 Enterprise 许 可 证 之 后, 您 可 以 在 您 的 实 例 上 安 装 它, 然 后 就 可 以 访 问 Splunk Enterprise 功 能 了 请 阅 读 本 手 册 中 的 Splunk 许 可 证 类 型 以 了 解 Enterprise 功 能 相 关 信 息 Splunk 软 件 许 可 证 类 型 每 个 Splunk 实 例 都 需 要 一 个 许 可 证 Splunk 许 可 证 指 定 了 给 定 的 Splunk 实 例 可 以 建 立 索 引 的 数 据 量 以 及 您 有 权 访 问 的 功 能 本 主 题 介 绍 不 同 的 许 可 证 类 型 及 相 关 选 项 通 常 有 四 种 许 可 证 类 型 : Enterprise 许 可 证 启 用 所 有 Enterprise 功 能, 例 如 验 证 和 分 布 式 搜 索 Free 许 可 证 允 许 建 立 有 限 的 索 引 量 且 可 永 久 使 用, 但 禁 用 验 证 转 发 器 许 可 证 允 许 您 转 发 数 据 和 启 用 验 证, 但 不 允 许 对 数 据 建 立 索 引 Beta 许 可 证 通 常 启 用 Enterprise 功 能, 但 限 制 在 Splunk Beta 版 本 本 主 题 中 还 介 绍 部 署 包 括 分 布 式 搜 索 或 索 引 复 制 时 的 一 些 特 殊 许 可 注 意 事 项 有 关 升 级 现 有 许 可 证 的 信 息, 请 参 阅 安 装 手 册 中 的 迁 移 到 新 的 Splunk 许 可 证 Enterprise 许 可 证 Splunk Enterprise 是 标 准 Splunk 许 可 证 它 允 许 您 使 用 所 有 Splunk Enterprise 功 能, 包 括 验 证 分 布 式 搜 索 部 署 管 理 告 警 计 划 和 基 于 角 色 的 访 问 控 制 Enterprise 许 可 证 需 要 购 买, 它 在 索 引 量 上 没 有 限 制 请 联 系 Splunk 销 售 代 表 以 获 取 更 多 信 息 以 下 列 出 了 其 他 类 型 的 Enterprise 许 可 证, 它 们 均 包 含 相 同 的 功 能 : Enterprise Trial 许 可 证 当 您 首 次 下 载 Splunk 时, 您 将 被 要 求 进 行 注 册 通 过 注 册, 您 可 以 获 得 一 份 Enterprise Trial 许 可 证, 在 此 许 可 证 下 您 每 天 可 以 建 立 的 最 大 索 引 量 为 500 MB 从 您 开 始 使 用 Splunk 算 起,Enterprise Trial 许 可 证 将 在 60 天 后 失 效 如 果 您 采 用 Enterprise Trial 许 可 证 来 运 行 Splunk, 那 么 在 您 的 许 可 证 失 效 之 后,Splunk 将 要 求 您 切 换 到 Splunk Free 许 可 证 在 您 安 装 Splunk 之 后, 您 可 以 选 择 使 用 Enterprise Trial 许 可 证 来 运 行 Splunk( 直 到 该 许 可 证 到 期 ), 购 买 Enterprise 许 可 证 或 切 换 到 Free 许 可 证 ( 该 许 可 证 已 包 括 在 内 ) 注 意 :Enterprise Trial 许 可 证 有 时 也 称 为 "download-trial" Sales Trial 许 可 证 56

57 Sales Trial 许 可 证 如 果 您 使 用 Splunk Sales, 您 可 以 请 求 试 用 大 小 和 持 续 时 间 不 同 的 多 个 Enterprise 许 可 证 从 您 开 始 使 用 Splunk 算 起,Enterprise Trial 许 可 证 将 在 60 天 后 失 效 如 果 您 准 备 试 用 大 规 模 的 部 署, 并 要 求 较 长 的 持 续 时 间, 或 者 想 要 在 试 用 期 间 对 较 大 数 据 量 建 立 索 引, 您 可 以 直 接 与 Splunk Sales 或 您 的 销 售 代 表 联 系, 提 出 您 的 请 求 Free 许 可 证 Free 许 可 证 包 括 每 天 500 MB 的 索 引 量, 免 费 ( 供 您 使 用 ), 没 有 截 止 日 期 以 下 功 能 在 使 用 Enterprise 许 可 证 时 可 用, 但 在 Splunk Free 中 禁 用 : 多 个 用 户 帐 户 和 基 于 角 色 的 访 问 控 制 分 布 式 搜 索 以 TCP/HTTP 格 式 转 发 ( 您 可 以 向 其 他 Splunk 实 例 转 发 数 据, 但 不 能 向 非 Splunk 实 例 转 发 ) 部 署 管 理 ( 包 括 客 户 端 ) 告 警 / 监 视 验 证 和 用 户 管 理, 包 括 本 机 验 证 LDAP 和 脚 本 式 验 证 不 存 在 登 录 机 制 不 会 提 示 您 输 入 用 户 名 / 密 码, 通 过 命 令 行 或 浏 览 器 可 以 访 问 和 控 制 Splunk 的 所 有 方 面 您 无 法 添 加 更 多 角 色 或 创 建 用 户 帐 户 在 运 行 搜 索 时 将 针 对 所 有 公 共 索 引 'index=*', 且 不 支 持 如 用 户 配 额 最 大 每 个 搜 索 时 间 范 围 和 搜 索 过 滤 条 件 的 搜 索 限 制 功 能 系 统 被 禁 用, 为 所 有 访 问 Splunk 的 用 户 启 用 全 部 操 作 了 解 有 关 Splunk 免 费 版 本 的 详 细 信 息, 请 参 阅 本 手 册 转 发 器 许 可 证 本 许 可 证 允 许 转 发 无 限 量 数 据 ( 但 不 允 许 建 立 索 引 ), 还 在 实 例 上 启 用 安 全 性, 以 便 用 户 必 须 提 供 用 户 名 和 密 码 才 能 访 问 (Free 许 可 证 也 可 用 于 转 发 无 限 量 数 据, 但 没 有 安 全 性 ) 转 发 器 许 可 证 包 括 在 Splunk 中 ; 不 需 要 单 独 购 买 Splunk 提 供 个 转 发 器 选 项 : 通 用 转 发 器 自 动 启 用 / 应 用 许 可 证 ; 安 装 后 不 需 要 再 执 行 其 他 步 骤 轻 型 转 发 器 使 用 相 同 的 许 可 证, 但 必 须 通 过 手 动 更 改 为 转 发 器 许 可 证 组 来 启 用 重 型 转 发 器 也 必 须 手 动 转 换 为 转 发 器 许 可 证 组 如 果 要 执 行 建 立 索 引, 应 向 实 例 授 予 对 Enterprise 许 可 证 堆 叠 的 访 问 权 限 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 Beta 许 可 证 Splunk 的 Beta 版 本 需 要 不 同 的 许 可 证, 此 许 可 证 与 其 他 Splunk 版 本 不 兼 容 此 外, 如 果 您 要 评 估 Beta 版 本 的 Splunk, 使 用 Free 或 Enterprise 许 可 证 时 该 版 本 不 会 运 行 Beta 许 可 证 通 常 启 用 Enterprise 功 能, 但 这 些 功 能 仅 限 在 Beta 版 本 中 使 用 如 果 您 要 评 估 Beta 版 本 的 Splunk, 该 版 本 将 附 带 自 己 的 许 可 证 搜 索 头 的 许 可 证 ( 用 于 分 布 式 搜 索 ) 搜 索 头 是 Splunk 实 例, 将 搜 索 分 布 到 其 他 Splunk 索 引 器 虽 然 搜 索 头 通 常 不 在 本 地 对 任 何 数 据 建 立 索 引, 但 您 仍 想 要 使 用 许 可 证 限 制 对 搜 索 头 的 访 问 没 有 特 别 用 于 搜 索 头 的 特 殊 许 可 证 类 型, 也 就 是 说, 没 有 搜 索 头 许 可 证 但 是, 要 配 置 搜 索 头 必 须 有 Enterprise 许 可 证, 如 何 安 排 搜 索 头 许 可 授 权 取 决 于 Splunk 版 本 : 过 去, 对 于 4.2 之 前 的 版 本,Splunk 建 议 在 每 个 搜 索 头 上 使 用 一 个 单 独 的 转 发 器 许 可 证 这 只 是 因 为 转 发 器 许 可 证 不 允 许 建 立 索 引, 但 访 问 搜 索 头 需 要 验 证 现 在, 对 于 4.2 之 后 的 版 本,Splunk 建 议 不 用 为 每 个 对 等 节 点 分 配 一 个 单 独 的 许 可 证, 而 是 将 搜 索 头 添 加 到 Enterprise 许 可 证 池 中, 即 使 不 需 要 搜 索 头 对 任 何 数 据 建 立 索 引 阅 读 组 堆 叠 池 和 其 他 术 语 以 及 创 建 或 编 辑 许 可 证 池 注 意 : 如 果 您 的 现 有 搜 索 头 已 安 装 4.2 之 前 版 本 的 转 发 器 许 可 证, 则 升 级 后 不 读 取 该 转 发 器 许 可 证 索 引 器 群 集 节 点 的 许 可 证 ( 用 于 索 引 复 制 ) 如 同 任 意 Splunk 部 署, 您 的 许 可 要 求 由 索 引 器 处 理 的 数 据 量 来 驱 动 请 与 您 的 Splunk 销 售 代 表 联 系, 购 买 更 多 的 许 可 量 只 有 个 特 定 于 索 引 复 制 的 许 可 证 问 题 : 57

58 所 有 群 集 节 点 ( 包 括 主 节 点 对 等 节 点 和 搜 索 头 ) 都 需 要 在 Enterprise 许 可 证 池 中, 即 使 不 需 要 它 们 对 任 何 数 据 建 立 索 引 群 集 节 点 必 须 共 享 相 同 的 许 可 授 权 配 置 只 有 传 入 数 据 用 于 计 算 许 可 证 的 数 据 量, 复 制 的 数 据 不 计 算 在 内 使 用 Free 许 可 证 时 不 能 使 用 索 引 复 制 阅 读 管 理 索 引 器 和 群 集 手 册 中 有 关 系 统 要 求 和 其 他 部 署 注 意 事 项 的 更 多 信 息 组 堆 叠 池 和 其 他 术 语 您 可 以 将 兼 容 Splunk Enterprise 许 可 证 聚 集 成 可 用 许 可 量 的 堆 叠, 然 后 定 义 使 用 从 给 定 堆 叠 许 可 量 的 索 引 器 池 Splunk Free 用 户 : 此 功 能 仅 与 Enterprise 许 可 证 相 关 如 果 您 运 行 Splunk Free 的 独 立 实 例, 则 不 需 要 组 池 和 堆 叠 堆 叠 可 以 将 某 些 Splunk 许 可 证 类 型 聚 集 在 一 起 或 堆 叠 在 一 起, 使 其 可 用 许 可 量 是 单 个 许 可 证 的 许 可 量 的 总 和 这 意 味 着, 随 着 时 间 的 推 移, 您 可 以 在 需 要 时 增 加 您 的 索 引 量 容 量, 而 不 必 换 掉 许 可 证 相 反, 您 只 需 购 买 更 多 的 容 量, 然 后 将 附 加 容 量 添 加 到 适 当 的 堆 叠 组 Enterprise 许 可 证 和 Sales Trial 许 可 证 可 以 堆 叠 在 一 起, 并 且 可 以 互 相 堆 叠 标 准 Splunk 下 载 软 件 包 附 带 的 Enterprise *Trial* 许 可 证 不 得 包 含 在 堆 叠 中 Enterprise Trial 许 可 证 专 门 供 独 立 使 用, 它 自 成 一 组 除 非 您 安 装 了 Enterprise 或 Sales Trial 许 可 证, 否 则 您 将 无 法 创 建 堆 叠 或 定 义 池 以 供 其 他 索 引 器 使 用 Splunk Free 许 可 证 不 能 与 其 他 许 可 证 堆 叠, 包 括 Splunk Free 许 可 证 转 发 器 许 可 证 不 能 与 其 他 许 可 证 堆 叠, 包 括 转 发 器 许 可 证 许 可 证 组 包 含 一 个 或 多 个 堆 叠 堆 叠 只 能 是 一 个 组 的 成 员, 而 且 每 个 Splunk 安 装 中 只 能 有 一 个 组 处 于 活 动 状 态 特 别 是, 这 意 味 着, 给 定 许 可 证 主 服 务 器 每 次 只 能 管 理 一 个 组 类 型 的 许 可 证 池 这 些 组 为 : 池 Enterprise/Sales Trial 组 -- 此 组 允 许 堆 叠 购 买 的 Enterprise 许 可 证 和 Sales Trial 许 可 证 ( 此 类 许 可 证 是 具 有 设 定 到 期 日 期 的 Enterprise 许 可 证, 与 下 载 的 Enterprise Trial 不 同 ) Enterprise Trial 组 -- 此 组 是 首 次 安 装 新 Splunk 实 例 时 的 默 认 组 您 不 能 将 多 个 Enterprise Trial 许 可 证 组 合 成 堆 叠, 然 后 从 该 堆 叠 创 建 池 如 果 您 切 换 到 其 他 组, 则 不 能 再 切 换 回 Enterprise Trial 组 Free 组 -- 此 组 用 于 Splunk Free 的 安 装 当 Enterprise Trial 许 可 证 在 60 天 后 到 期 时, 该 Splunk 实 例 转 换 为 Free 组 您 不 能 将 多 个 Splunk Free 许 可 证 组 合 成 堆 叠, 然 后 从 该 堆 叠 创 建 池 Forwarder 组 -- 此 组 用 于 将 Splunk 实 例 配 置 为 通 用 转 发 器 或 轻 型 转 发 器 这 些 转 发 器 类 型 不 执 行 任 何 索 引 建 立, 因 此 实 际 上 并 不 通 过 管 理 器 中 的 许 可 页 面 进 行 管 理, 但 确 实 属 于 许 可 证 组 如 果 您 将 某 一 Splunk 实 例 的 许 可 证 组 更 改 为 Forwarder 组, 则 假 设 该 Splunk 实 例 配 置 为 转 发 器, 不 对 任 何 数 据 建 立 索 引 有 关 更 多 信 息, 请 参 阅 转 发 器 和 转 发 器 许 可 证 您 可 以 定 义 许 可 量 的 池 ( 其 许 可 量 取 自 给 定 许 可 证 的 许 可 证 堆 叠 ), 同 时 指 定 其 他 索 引 Splunk 实 例 作 为 该 池 的 成 员, 用 于 使 用 和 跟 踪 许 可 量 58

59 许 可 证 池 由 Splunk 的 一 个 许 可 证 主 服 务 器 和 零 个 或 多 个 许 可 证 从 服 务 器 实 例 组 成, 这 些 实 例 配 置 为 使 用 已 设 置 许 可 证 或 许 可 证 堆 叠 的 许 可 量 许 可 证 从 服 务 器 许 可 证 从 服 务 器 是 一 个 或 多 个 许 可 证 池 的 成 员 许 可 证 从 服 务 器 对 许 可 量 的 访 问 权 限 由 许 可 证 主 服 务 器 控 制 许 可 证 主 服 务 器 一 个 许 可 证 主 服 务 器 控 制 一 个 或 多 个 许 可 证 从 服 务 器 您 可 以 从 许 可 证 主 服 务 器 上 定 义 池 添 加 许 可 容 量 和 管 理 许 可 证 从 服 务 器 安 装 许 可 证 本 主 题 介 绍 如 何 安 装 新 的 许 可 证 您 可 以 在 Splunk 许 可 证 主 服 务 器 上 安 装 多 份 许 可 证 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 有 关 升 级 现 有 许 可 证 的 信 息, 请 参 阅 安 装 手 册 中 的 迁 移 到 新 的 Splunk 许 可 证 添 加 新 许 可 证 要 添 加 新 许 可 证 : 1. 导 航 到 设 置 > 许 可 证 2. 单 击 添 加 许 可 证 3. 单 击 选 择 文 件 并 浏 览 您 的 许 可 证 文 件, 然 后 选 择 该 文 件, 或 者 单 击 直 接 复 制 和 粘 贴 许 可 证 XML... 并 将 许 可 证 文 件 的 文 本 粘 贴 到 所 提 供 的 字 段 中 4. 单 击 安 装 如 果 这 是 您 安 装 的 第 一 份 Enterprise 许 可 证, 则 必 须 重 新 启 动 Splunk 您 的 许 可 证 现 已 安 装 就 绪 配 置 许 可 证 主 服 务 器 本 主 题 介 绍 如 何 将 Splunk 实 例 配 置 为 许 可 证 主 服 务 器 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 许 可 证 主 服 务 器 种 类 许 可 证 主 服 务 器 有 两 种 基 本 类 型 : 独 立 许 可 证 主 服 务 器 如 果 您 具 有 单 个 Splunk 索 引 器, 并 希 望 管 理 其 许 可 证, 则 您 可 以 将 其 作 为 许 可 证 主 服 务 器 来 运 行, 并 在 其 上 面 安 装 一 份 或 多 份 Enterprise 许 可 证, 这 样 它 可 以 将 自 身 作 为 从 许 可 证 服 务 器 来 进 行 管 理 当 您 首 次 下 载 并 安 装 Splunk Enterprise 时, 它 含 有 一 份 为 期 60 天 的 500 MB Enterprise Trial 许 可 证 该 实 例 会 自 动 配 置 为 独 立 许 可 证 主 服 务 器, 您 无 法 针 对 此 类 许 可 证 创 建 池 或 定 义 任 何 许 可 证 从 服 务 器 如 果 您 想 要 创 建 一 个 或 多 个 堆 叠 或 池, 然 后 为 其 分 配 多 个 索 引 器, 则 必 须 购 买 并 安 装 Enterprise 许 可 证 要 安 装 许 可 证, 请 遵 循 本 手 册 中 安 装 许 可 证 的 说 明 中 央 许 可 证 主 服 务 器 59

60 如 果 您 有 多 个 索 引 器, 并 想 要 从 中 央 位 置 管 理 对 所 购 买 的 许 可 容 量 的 访 问 权 限, 则 可 配 置 中 央 许 可 证 主 服 务 器, 然 后 将 这 些 索 引 器 添 加 为 许 可 证 从 服 务 器 如 果 许 可 证 主 服 务 器 也 是 索 引 器, 则 该 服 务 器 也 是 自 己 的 许 可 证 主 服 务 器, 但 Splunk 建 议, 如 果 您 有 搜 索 头, 可 将 其 指 派 为 许 可 证 主 服 务 器 如 果 您 的 环 境 规 模 很 大, 其 中 配 有 多 个 搜 索 头, 则 您 可 能 想 要 一 些 或 所 有 不 是 许 可 证 主 服 务 器 的 搜 索 头 将 搜 索 分 布 到 许 可 证 主 服 务 器, 有 以 下 两 个 原 因 : 您 可 以 对 照 许 可 证 日 志 运 行 搜 索 如 果 在 搜 索 头 上 出 现 不 寻 常 的 情 况 ( 例 如, 您 的 许 可 证 有 时 间 限 制, 将 在 5 天 后 到 期 ), 则 在 运 行 搜 索 时 可 在 搜 索 头 上 看 到 这 一 情 况, 作 为 信 息 消 息 的 一 部 分 附 加 到 搜 索 结 果 配 置 中 央 许 可 证 主 服 务 器 默 认 情 况 下,Splunk 的 独 立 实 例 是 自 己 的 许 可 证 主 服 务 器 要 配 置 中 央 许 可 证 主 服 务 器, 安 装 一 个 或 多 个 Enterprise 许 可 证 安 装 Enterprise 许 可 证 之 后, 您 可 以 创 建 一 个 或 多 个 堆 叠 和 池, 用 于 访 问 安 装 的 许 可 证, 然 后 从 许 可 证 主 服 务 器 管 理 许 可 证 配 置 许 可 证 从 服 务 器 本 主 题 介 绍 如 何 将 Splunk 索 引 器 配 置 为 许 可 证 从 服 务 器 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 有 关 设 置 许 可 证 主 服 务 器 的 说 明, 请 参 阅 本 手 册 中 的 配 置 许 可 证 主 服 务 器 有 关 从 命 令 行 执 行 这 些 任 务 的 帮 助, 请 参 阅 本 手 册 中 的 从 CLI 管 理 许 可 证 1. 在 想 要 配 置 为 许 可 证 从 服 务 器 的 索 引 器 上, 登 录 Splunk Web, 然 后 导 航 到 设 置 > 许 可 授 权 2. 单 击 更 改 为 从 服 务 器 3. 将 单 选 按 钮 从 将 此 Splunk 实 例 < 此 索 引 器 > 指 定 为 许 可 证 主 服 务 器 切 换 到 将 其 他 Splunk 实 例 指 定 为 许 可 证 主 服 务 器 4. 指 定 此 许 可 证 从 服 务 器 应 报 告 的 许 可 证 主 服 务 器 您 必 须 提 供 IP 地 址 或 主 机 名 和 Splunk 管 理 端 口 ( 默 认 为 8089) 注 意 : 可 以 按 IPv4 或 IPv6 格 式 指 定 IP 地 址 有 关 IPv6 支 持 的 详 细 信 息, 请 参 阅 本 手 册 中 的 配 置 Splunk 以 使 用 IPv6 5. 单 击 保 存 如 果 此 实 例 还 未 安 装 Enterprise 许 可 证, 则 必 须 重 新 启 动 Splunk 此 索 引 器 现 在 已 配 置 为 许 可 证 从 服 务 器 要 切 换 回 去, 导 航 到 设 置 > 许 可 授 权, 然 后 单 击 切 换 到 本 地 主 服 务 器 如 果 此 实 例 还 未 安 装 Enterprise 许 可 证, 要 使 此 更 改 生 效, 必 须 重 新 启 动 Splunk 创 建 或 编 辑 许 可 证 池 本 主 题 介 绍 如 何 从 一 个 或 多 个 已 安 装 许 可 证 创 建 许 可 证 池, 以 及 如 何 编 辑 现 有 许 可 证 池 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 阅 读 安 装 许 可 证, 了 解 有 关 安 装 许 可 证 的 更 多 信 息 有 关 从 命 令 行 执 行 这 些 任 务 的 帮 助, 请 参 阅 本 手 册 中 的 从 CLI 管 理 许 可 证 当 您 首 次 下 载 并 安 装 Splunk 时, 它 含 有 一 份 为 期 60 天 的 500 MB Enterprise Trial 许 可 证 该 Splunk 实 例 会 自 动 配 置 为 独 立 许 可 证 主 服 务 器, 您 无 法 针 对 此 类 许 可 证 创 建 池 或 定 义 任 何 许 可 证 从 服 务 器 如 果 您 想 要 创 建 一 个 或 多 个 堆 叠 或 池, 然 后 为 其 分 配 多 个 索 引 器, 则 必 须 购 买 并 安 装 Enterprise 许 可 证 在 设 置 > 许 可 授 权 的 下 例 中, 全 新 的 Splunk 安 装 上 刚 刚 安 装 了 100 MB Enterprise 许 可 证 : 60

61 当 您 在 全 新 的 Splunk 服 务 器 上 安 装 Enterprise 许 可 证 时,Splunk 会 自 动 从 中 创 建 Enterprise 许 可 证 堆 叠 ( 也 称 为 Splunk Enterprise 堆 叠 ), 并 为 其 定 义 默 认 的 许 可 证 池 ( 称 为 auto_generated_pool_enterprise) 该 默 认 池 的 默 认 配 置 会 将 任 何 连 接 到 此 许 可 证 主 服 务 器 的 许 可 证 从 服 务 器 添 加 到 池 中 您 可 以 编 辑 该 池 以 更 改 此 配 置, 为 其 添 加 更 多 的 索 引 器, 或 从 此 堆 叠 创 建 新 的 许 可 证 池 要 编 辑 现 有 的 许 可 证 池 1. 在 要 编 辑 的 许 可 证 池 的 旁 边, 单 击 编 辑 这 将 显 示 编 辑 许 可 证 池 页 面 2. 根 据 需 要, 更 改 分 配 或 改 变 如 何 允 许 索 引 器 访 问 此 池 您 还 可 以 更 改 池 的 描 述, 但 不 能 更 改 池 的 名 称 3. 单 击 提 交 要 创 建 新 许 可 证 池 重 要 提 示 : 要 想 能 够 从 默 认 Enterprise 堆 叠 创 建 新 许 可 证 池, 必 须 使 一 些 索 引 量 可 用, 您 可 以 编 辑 auto_generated_pool_enterprise 池 并 减 少 其 分 配, 也 可 以 整 个 删 除 池 单 击 池 名 称 旁 的 删 除 来 删 除 池 1. 单 击 页 面 底 部 的 这 将 显 示 创 建 新 许 可 证 池 页 面 2. 指 定 池 的 名 称, 也 可 以 指 定 池 的 描 述 3. 设 置 该 池 的 分 配 分 配 是 指 整 个 堆 叠 的 许 可 量 中 可 供 属 于 该 池 的 索 引 器 使 用 的 许 可 量 分 配 可 以 是 特 定 值, 也 可 以 是 堆 叠 中 的 整 个 可 用 索 引 量 ( 只 要 没 有 分 配 给 任 何 其 他 池 ) 4. 指 定 索 引 器 如 何 访 问 该 池 这 些 选 项 为 : 环 境 中 所 有 已 配 置 为 许 可 证 从 服 务 器 的 索 引 器 都 能 连 接 到 此 许 可 证 池 并 使 用 其 中 的 许 可 证 分 配 只 有 您 指 定 的 索 引 器 才 能 连 接 到 此 池 并 使 用 其 中 的 许 可 证 分 配 61

62 5. 要 允 许 从 池 绘 制 特 定 的 索 引 器, 请 单 击 可 用 索 引 器 列 表 中 索 引 器 名 称 旁 边 的 加 号, 以 将 其 移 动 到 关 联 的 索 引 器 列 表 中 向 许 可 证 池 添 加 索 引 器 本 主 题 介 绍 如 何 向 现 有 许 可 证 池 添 加 索 引 器 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 索 引 器 如 何 访 问 许 可 证 池 对 许 可 证 池 的 堆 叠 的 访 问 由 该 池 的 许 可 证 主 服 务 器 来 控 制 通 过 指 定 许 可 证 主 服 务 器 的 URI 和 管 理 端 口, 可 以 将 池 配 置 为 仅 允 许 访 问 特 定 索 引 器, 也 可 以 将 池 配 置 为 允 许 访 问 与 其 连 接 的 所 有 索 引 器 添 加 特 定 索 引 器 按 照 以 下 两 个 基 本 步 骤 将 特 定 索 引 器 访 问 权 限 授 予 给 定 许 可 证 池 的 堆 叠 : 1. 将 索 引 器 配 置 为 许 可 证 从 服 务 器, 并 为 其 提 供 许 可 证 主 服 务 器 的 URI 和 管 理 端 口 为 此, 应 遵 循 本 手 册 的 配 置 许 可 证 从 服 务 器 中 的 说 明 2. 在 许 可 证 管 理 器 上 配 置 池, 以 接 受 来 自 该 索 引 器 的 访 问 为 此, 遵 循 创 建 或 编 辑 许 可 证 池 中 的 说 明 以 编 辑 许 可 证 池, 选 择 单 选 按 钮 选 项 以 仅 允 许 访 问 特 定 索 引 器, 然 后 在 可 用 索 引 器 列 表 中 单 击 索 引 器 名 称 旁 边 的 加 号, 以 便 将 其 移 动 到 关 联 的 索 引 器 列 表 中 添 加 任 何 连 接 的 索 引 器 遵 循 以 下 步 骤, 使 所 有 连 接 到 此 许 可 证 主 服 务 器 的 索 引 器 均 有 权 访 问 给 定 许 可 证 池 的 堆 叠 : 1. 将 索 引 器 配 置 为 许 可 证 从 服 务 器, 并 为 其 提 供 许 可 证 主 服 务 器 的 URI 和 管 理 端 口 为 此, 应 遵 循 本 手 册 的 配 置 许 可 证 从 服 务 器 中 的 说 明 2. 在 许 可 证 主 服 务 器 上 配 置 池, 以 接 受 来 自 任 何 索 引 器 的 访 问 为 此, 遵 循 创 建 或 编 辑 许 可 证 池 中 的 说 明 以 编 辑 许 可 证 池, 然 后 选 择 单 选 按 钮 选 项 以 允 许 从 任 何 连 接 的 索 引 器 进 行 访 问 从 CLI 管 理 许 可 证 本 主 题 介 绍 如 何 使 用 Splunk CLI 监 视 和 管 理 Splunk 许 可 证 在 您 继 续 之 前, 请 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 本 主 题 仅 涵 盖 与 Splunk 的 许 可 证 相 关 对 象 交 互 时 可 以 使 用 的 CLI 命 令 其 中 一 些 命 令 还 有 您 可 以 为 每 个 对 象 指 定 的 必 填 参 数 和 可 选 参 数 有 关 完 整 的 语 法 和 用 法 示 例, 请 参 阅 Splunk 的 CLI 帮 助 有 关 使 用 Splunk 命 令 行 界 面 的 简 介, 请 阅 读 本 手 册 中 的 关 于 CLI 有 关 通 过 Splunk 的 REST API 管 理 许 可 证 的 信 息, 请 参 阅 REST API 参 考 手 册 中 的 许 可 证 CLI 许 可 证 命 令 和 对 象 使 用 Splunk CLI, 您 可 以 添 加 编 辑 列 出 和 删 除 许 可 证 和 许 可 证 相 关 对 象 可 用 命 令 为 : 命 令 对 象 描 述 add edit list licenses, licenser-pools licenser-localslave, licenser-pools licenser-groups, licenser-localslave, licensermessages, licenser-pools, licenser-slaves, licenser-stacks, licenses 将 许 可 证 或 许 可 证 池 添 加 到 许 可 证 堆 叠 仅 当 您 拥 有 Enterprise 许 可 证 时, 此 命 令 才 可 用 编 辑 许 可 证 堆 叠 中 本 地 许 可 证 从 服 务 器 节 点 或 许 可 证 池 的 属 性 仅 当 您 拥 有 Enterprise 许 可 证 时, 此 命 令 才 可 用 根 据 指 定 的 许 可 证 相 关 对 象, 列 出 该 对 象 或 该 对 象 的 成 员 的 属 性 remove licenser-pools, licenses 从 许 可 证 堆 叠 中 删 除 许 可 证 或 许 可 证 池 62

63 许 可 证 相 关 对 象 为 : 对 象 描 述 licenser-groups 您 可 以 切 换 到 的 不 同 许 可 证 组 licenser-localslave 本 地 索 引 器 的 配 置 licenser-messages 关 于 您 的 许 可 证 状 态 的 告 警 或 警 告 licenser-pools 池 或 虚 拟 许 可 证 一 个 堆 叠 可 以 分 割 成 各 种 池, 多 个 从 服 务 器 共 享 每 个 池 的 配 额 licenser-slaves 已 联 系 到 主 服 务 器 的 所 有 从 服 务 器 licenser-stacks 此 对 象 代 表 许 可 证 堆 叠 堆 叠 包 含 相 同 类 型 的 许 可 证, 可 累 加 licenses 此 Splunk 实 例 的 所 有 许 可 证 常 用 许 可 证 相 关 任 务 下 面 给 出 常 用 许 可 证 相 关 任 务 的 示 例 管 理 许 可 证 要 将 新 许 可 证 添 加 到 许 可 证 堆 叠, 指 定 许 可 证 文 件 的 路 径 :./splunk add licenses /opt/splunk/etc/licenses/enterprise/enterprise.lic 要 列 出 许 可 证 堆 叠 中 的 所 有 许 可 证 :./splunk list licenses List 还 显 示 每 个 许 可 证 的 属 性, 包 括 它 启 用 的 功 能 (features) 它 属 于 的 许 可 证 组 和 堆 叠 (group_id, stack_id) 它 允 许 的 索 引 配 额 (quota) 以 及 对 每 个 许 可 证 均 唯 一 的 许 可 证 密 钥 (license_hash) 如 果 许 可 证 期 满, 您 还 可 以 从 许 可 证 堆 叠 中 删 除 它 要 从 许 可 证 堆 叠 中 删 除 许 可 证, 指 定 许 可 证 的 哈 希 值 :./splunk remove licenses BM+S8VetLnQEb1F+5Gwx9rR4M4Y91AkIE=781882C56833F36D 管 理 许 可 证 池 您 可 以 从 许 可 证 堆 叠 中 的 一 个 或 多 个 许 可 证 创 建 许 可 证 池 ( 如 果 您 有 Enterprise 许 可 证 ) 基 本 上, 一 个 许 可 证 堆 叠 可 以 划 分 为 多 个 许 可 证 池 每 个 池 可 以 拥 有 多 个 从 许 可 证 服 务 器, 它 们 共 享 该 池 的 配 额 要 查 看 所 有 许 可 证 堆 叠 中 的 所 有 许 可 证 池 :./splunk list licenser-pools 要 将 某 个 许 可 证 池 添 加 到 堆 叠, 您 需 要 : 命 名 该 池, 指 定 您 要 添 加 到 的 堆 叠, 并 指 定 要 分 配 到 该 池 的 索 引 量 :./splunk add licenser-pools pool01 -quota 10mb -slaves guid1,guid2 -stack_id enterprise 您 还 可 以 指 定 该 池 和 作 为 其 成 员 的 许 可 证 从 服 务 器 的 描 述 ( 均 为 可 选 ) 您 可 以 编 辑 许 可 证 池 的 描 述 索 引 配 额 和 许 可 证 从 服 务 器 :./splunk edit licenser-pools pool01 -description "Test" -quota 15mb -slaves guid3,guid4 -append_slaves true 这 主 要 是 添 加 对 池 的 描 述 ( Test ), 将 配 额 从 10MB 更 改 为 15MB, 向 该 池 添 加 许 可 证 从 服 务 器 guid3 和 guid4 池 ( 而 不 是 覆 盖 或 取 代 guid1 和 guid2) 要 从 堆 叠 中 删 除 许 可 证 池, 应 指 定 名 称 :./splunk remove licenser-pools pool01 管 理 许 可 证 从 服 务 器 63

64 许 可 证 从 服 务 器 是 一 个 或 多 个 许 可 证 池 的 成 员 许 可 证 从 服 务 器 对 许 可 量 的 访 问 权 限 由 许 可 证 主 服 务 器 控 制 要 列 出 所 有 联 系 过 许 可 证 主 服 务 器 的 许 可 证 从 服 务 器 :./splunk list licenser-slaves 要 列 出 本 地 从 许 可 证 服 务 器 的 所 有 属 性 :./splunk list licenser-localslave 要 添 加 许 可 证 从 服 务 器, 应 编 辑 该 本 地 许 可 证 从 服 务 器 节 点 的 属 性 ( 指 定 splunkd 许 可 证 主 服 务 器 实 例 的 URI 或 'self'):./splunk edit licenser-localslave -master_uri ' 监 视 许 可 证 状 态 您 可 以 使 用 list 命 令 来 查 看 有 关 许 可 证 状 态 的 消 息 ( 告 警 或 警 告 )./splunk list licenser-messages 管 理 Splunk 许 可 证 管 理 许 可 证 本 主 题 介 绍 如 何 管 理 Splunk Enterprise 许 可 证 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 有 关 从 命 令 行 执 行 其 中 一 些 任 务 的 帮 助, 请 参 阅 本 手 册 中 的 从 CLI 管 理 许 可 证 有 关 升 级 现 有 许 可 证 的 信 息, 请 参 阅 安 装 手 册 中 的 迁 移 到 新 的 Splunk 许 可 证 删 除 许 可 证 如 果 某 一 许 可 证 已 到 期, 您 可 以 删 除 它 要 删 除 一 个 或 多 个 许 可 证 : 1. 在 许 可 证 主 服 务 器 上, 导 航 到 系 统 > 许 可 授 权 2. 单 击 您 要 删 除 的 许 可 证 旁 边 的 删 除 3. 再 次 单 击 删 除 确 认 注 意 : 您 不 能 删 除 许 可 证 主 服 务 器 上 的 许 可 证 列 表 中 的 最 后 一 个 许 可 证 查 看 许 可 证 使 用 情 况 您 可 以 通 过 许 可 证 使 用 情 况 报 告 视 图 监 视 您 的 部 署 中 的 许 可 证 使 用 情 况 访 问 系 统 > 许 可 授 权 > 使 用 情 况 报 表 中 的 视 图 请 阅 读 下 一 章 中 的 许 可 证 使 用 情 况 报 告 视 图 以 获 得 更 多 信 息 关 于 许 可 证 违 规 本 主 题 介 绍 许 可 证 违 规 问 题 以 及 这 些 问 题 如 何 发 生 和 如 何 解 决 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 许 可 证 违 规 和 警 告 是 什 么? 64

65 当 您 超 过 您 的 许 可 证 所 允 许 的 最 大 索 引 量 时, 将 发 生 警 告 和 违 规 如 果 您 在 任 意 一 个 日 历 日 超 过 您 的 日 许 可 量, 您 将 收 到 违 规 警 告 该 消 息 将 持 续 14 天 如 果 您 在 过 去 的 30 天 内,Enterprise 许 可 证 收 到 5 次 或 更 多 警 告,Free 许 可 证 收 到 3 次 警 告, 您 的 许 可 证 即 出 现 违 规 问 题, 则 仅 对 违 规 的 池 禁 用 搜 索 只 要 所 有 池 的 许 可 证 使 用 总 量 不 超 过 许 可 证 主 服 务 器 的 许 可 证 配 额 总 数, 其 他 池 便 仍 可 搜 索, 不 受 影 响 如 果 您 在 先 前 的 30 天 内 收 到 的 警 告 次 数 小 于 5 次 (Enterprise) 或 3 次 (Free), 或 者 如 果 您 应 用 临 时 重 置 许 可 证 ( 仅 可 用 于 Enterprise), 则 恢 复 搜 索 功 能 要 获 得 重 置 许 可 证, 请 与 您 的 销 售 代 表 联 系 有 关 如 何 应 用 该 许 可 证 的 说 明, 请 参 阅 安 装 手 册 注 意 : 即 使 发 生 许 可 证 违 规, 摘 要 索 引 量 也 不 用 于 计 算 许 可 证, 因 为 摘 要 索 引 将 如 任 何 其 他 非 内 部 搜 索 行 为 一 样 停 止 下 来 如 果 您 收 到 许 可 证 警 告, 直 到 午 夜 前 ( 按 许 可 证 主 服 务 器 上 的 时 间 计 算 ), 您 都 可 解 决 此 问 题, 否 则 警 告 将 计 入 过 去 30 天 内 的 警 告 总 数 中 在 许 可 证 违 规 期 间 : Splunk 不 停 止 对 数 据 建 立 索 引 Splunk 仅 在 超 过 许 可 量 时 阻 止 搜 索 不 禁 用 对 _internal 索 引 进 行 的 搜 索 这 意 味 着, 您 仍 可 访 问 索 引 状 态 仪 表 板, 或 者 您 仍 可 对 _internal 运 行 搜 索 以 诊 断 许 可 问 题 许 可 证 警 告 的 结 构 如 果 某 一 池 中 的 索 引 器 超 过 分 配 给 该 池 的 许 可 量, 则 会 看 到 横 跨 整 个 Splunk Web 顶 部 的 色 警 告 横 幅 : 单 击 横 幅 中 的 链 接 可 转 到 设 置 > 许 可 授 权, 相 应 警 告 显 示 在 该 页 面 的 告 警 部 分 下 单 击 警 告 以 获 得 有 关 该 警 告 的 更 多 信 息 发 生 违 规 行 为 时, 在 许 可 证 从 服 务 器 上 也 显 示 类 似 的 横 幅 以 下 列 出 将 生 成 许 可 告 警 的 一 些 情 况 : 当 某 一 从 服 务 器 孤 立 存 在 时, 将 显 示 告 警 ( 短 暂 显 示, 可 在 午 夜 之 前 修 复 ) 当 某 一 池 已 用 尽 时, 将 显 示 告 警 ( 短 暂 显 示, 可 在 午 夜 之 前 修 复 ) 当 某 一 堆 叠 已 用 尽 时, 将 显 示 告 警 ( 短 暂 显 示, 可 在 午 夜 之 前 修 复 ) 当 向 一 个 或 多 个 从 服 务 器 发 出 警 告 时, 将 显 示 告 警 ( 在 最 近 的 30 天 内, 只 要 警 告 仍 旧 有 效 就 会 一 直 存 在 ) 关 于 许 可 证 主 服 务 器 和 许 可 证 从 服 务 器 之 间 的 连 接 在 配 置 了 许 可 证 主 服 务 器 实 例, 并 为 其 添 加 了 许 可 证 从 服 务 器 之 后, 许 可 证 从 服 务 器 每 分 钟 会 向 许 可 证 主 服 务 器 告 知 一 次 其 使 用 情 况 如 果 许 可 证 主 服 务 器 发 生 故 障 或 由 于 某 种 原 因 无 法 连 接 到 许 可 证 主 服 务 器, 许 可 证 从 服 务 器 会 启 动 72 小 时 计 时 器 如 果 许 可 证 从 服 务 器 连 续 72 小 时 无 法 与 许 可 证 主 服 务 器 通 信, 则 许 可 证 从 服 务 器 上 的 搜 索 操 作 将 被 阻 止 ( 仍 然 继 续 执 行 索 引 操 作 ) 用 户 将 无 法 搜 索 许 可 证 从 服 务 器 上 的 索 引 数 据, 除 非 可 以 再 次 连 接 到 许 可 证 主 服 务 器 要 想 了 解 是 否 有 许 可 证 从 服 务 器 不 能 连 接 许 可 证 主 服 务 器, 可 在 splunkd.log 或 _internal 索 引 中 查 找 包 含 failed to transfer rows 的 事 件 如 何 避 免 许 可 证 违 规 要 避 免 许 可 证 违 规, 监 视 您 的 许 可 证 使 用 情 况, 同 时 确 保 您 有 足 够 的 许 可 量 来 支 持 如 果 您 没 有 足 够 的 许 可 量, 则 需 要 增 加 许 可 证 或 减 少 索 引 量 分 布 式 管 理 控 制 台 包 含 您 可 以 启 用 的 告 警, 包 括 监 视 许 可 证 使 用 情 况 的 告 警 请 参 阅 分 布 式 管 理 控 制 台 手 册 中 的 平 台 告 警 使 用 许 可 证 使 用 情 况 报 告 来 查 看 有 关 您 部 署 中 故 障 排 除 索 引 量 的 详 细 信 息 请 阅 读 下 一 章 中 的 许 可 证 使 用 情 况 报 表 视 图 以 获 得 相 关 信 息 纠 正 许 可 证 警 告 如 果 Splunk 要 求 您 在 午 夜 之 前 纠 正 许 可 证 警 告, 那 么 很 可 能 您 已 经 超 出 了 当 天 的 配 额 这 称 为 软 警 告 每 日 许 可 证 配 额 将 在 午 夜 ( 此 时 软 警 告 将 成 为 硬 警 告 ) 重 置 您 必 须 在 此 之 前 解 决 这 个 问 题, 并 且 还 要 确 保 明 天 不 会 超 过 此 配 额 65

66 对 数 据 创 建 索 引 之 后, 便 无 法 取 消 数 据 的 索 引, 从 而 使 您 的 许 可 证 有 回 旋 余 地 您 需 要 以 下 面 两 种 方 式 之 一 来 获 得 额 外 的 许 可 证 空 间 : 购 买 更 大 的 许 可 证 重 新 排 列 许 可 证 池 ( 如 果 某 个 池 存 在 多 余 的 许 可 证 空 间 ) 如 果 您 不 能 采 用 任 何 一 种 方 式, 则 通 过 使 用 更 少 的 许 可 证 来 阻 止 未 来 出 现 警 告 请 参 阅 许 可 证 使 用 情 况 报 表 视 图 以 了 解 哪 些 数 据 源 对 您 的 配 额 有 最 大 贡 献 确 定 产 生 数 据 问 题 的 主 要 原 因 后, 您 可 以 决 定 是 否 需 要 它 发 出 的 所 有 数 据 如 果 不 需 要, 请 阅 读 转 发 数 据 手 册 中 的 发 送 和 过 滤 数 据 问 答 有 什 么 问 题 吗? 请 访 问 Splunk Answers 以 查 看 在 Splunk 社 区 中 对 于 许 可 证 违 规 有 哪 些 相 关 的 问 题 和 解 答 交 换 许 可 证 主 服 务 器 您 已 配 置 了 一 个 许 可 证 池 如 果 要 将 许 可 证 从 服 务 器 中 的 一 台 服 务 器 变 成 池 的 许 可 证 主 服 务 器, 该 如 何 操 作? 本 主 题 将 提 供 相 关 的 操 作 步 骤 总 的 来 说, 您 先 将 一 台 从 服 务 器 提 升 为 主 服 务 器 然 后 将 旧 的 主 服 务 器 降 级 为 从 服 务 器 详 细 信 息 如 下 1. 从 许 可 授 权 池 中 删 除 新 的 许 可 证 主 服 务 器, 然 后 将 其 设 置 为 主 服 务 器 登 录 到 许 可 证 从 服 务 器 ( 该 服 务 器 将 成 为 新 的 主 服 务 器 ) 导 航 到 设 置 > 许 可 证 按 照 提 示 将 其 配 置 为 新 的 许 可 证 主 服 务 器 重 新 启 动 Splunk 2. 在 新 的 许 可 证 主 服 务 器 中, 添 加 许 可 证 密 钥 检 查 许 可 证 密 钥 是 否 与 旧 的 许 可 证 主 服 务 器 相 匹 配 3. 使 池 中 的 其 他 许 可 证 从 服 务 器 指 向 新 的 许 可 证 主 服 务 器 在 每 台 从 服 务 器 上, 导 航 到 设 置 > 许 可 授 权 更 改 许 可 证 主 服 务 器 URI 以 指 向 新 的 许 可 证 主 服 务 器, 然 后 单 击 保 存 在 刚 刚 更 新 了 其 条 目 的 许 可 证 从 服 务 器 上 重 新 启 动 Splunk 4. 检 查 其 中 一 台 许 可 证 从 服 务 器 是 否 已 连 接 到 新 的 许 可 证 主 服 务 器 5. 将 旧 的 许 可 证 主 服 务 器 降 级 到 从 服 务 器 : 在 旧 的 许 可 证 主 服 务 器 上 导 航 到 设 置 > 许 可 授 权 > 更 改 为 从 服 务 器 忽 略 重 新 启 动 提 示 在 更 改 为 从 服 务 器 屏 幕 中, 使 新 的 从 服 务 器 指 向 新 的 许 可 证 主 服 务 器 ( 指 定 其 他 Splunk 实 例 作 为 许 可 证 主 服 务 器 ) 6. 在 新 的 许 可 证 从 服 务 器 上, 停 止 Splunk 并 删 除 /opt/splunk/etc/licenses/enterprise/ 文 件 夹 下 的 旧 许 可 证 文 件 ( 如 若 不 然, 许 可 证 将 出 现 重 复, 系 统 会 发 出 错 误 和 / 或 警 告 信 息 ) 7. 在 新 的 许 可 证 从 服 务 器 上, 启 动 Splunk 并 确 认 它 已 连 接 到 新 的 许 可 证 主 服 务 器 许 可 证 使 用 情 况 报 表 视 图 关 于 Splunk Enterprise 的 许 可 证 使 用 情 况 报 表 视 图 许 可 证 使 用 情 况 报 表 视 图 介 绍 许 可 证 使 用 情 况 报 表 视 图 (License Usage Report View, LURV) 是 Splunk 中 针 对 与 许 可 容 量 和 索 引 量 有 关 的 问 题 的 新 合 并 资 源 它 提 供 了 一 种 简 单 而 快 速 的 确 定 Splunk 许 可 证 使 用 量 的 方 法 可 以 直 接 从 Splunk 授 权 页 立 即 查 看 每 日 Splunk 索 引 量 以 及 任 何 许 可 证 警 告 另 外, 还 可 获 得 最 近 30 天 的 Splunk 使 用 情 况 综 合 视 图, 并 带 有 多 个 报 表 选 项 LURV 可 显 示 许 可 证 池 的 许 可 证 使 用 情 况 详 细 信 息 此 仪 表 板 从 逻 辑 上 分 为 两 部 分 : 一 部 分 在 当 前 滚 动 窗 口 中 显 示 当 日 的 许 可 证 使 用 情 况 信 息 以 及 任 何 警 告 信 息 ; 另 一 部 分 显 示 过 去 30 天 内 的 历 史 许 可 证 使 用 情 况 对 于 LURV 中 的 每 个 面 板, 可 以 单 击 面 板 左 下 角 的 在 搜 索 中 打 开 这 允 许 您 与 搜 索 进 行 交 互 66

67 访 问 许 可 证 使 用 情 况 报 表 视 图 在 设 置 > 许 可 授 权 > 使 用 情 况 报 表 中 找 到 LURV 在 部 署 的 许 可 证 主 服 务 器 上 访 问 LURV ( 如 果 部 署 中 只 有 一 个 实 例, 则 此 实 例 就 是 其 自 己 的 许 可 证 主 服 务 器 ) 今 天 选 项 卡 第 一 次 进 入 LURV 时, 会 在 今 天 选 项 卡 下 看 到 五 个 面 板 这 些 面 板 显 示 了 尚 未 结 束 的 当 天 的 许 可 证 使 用 情 况 状 态 以 及 警 告 无 论 许 可 证 主 服 务 器 设 置 在 哪 个 时 区, 对 于 许 可 证, 每 天 的 结 束 时 间 都 是 午 夜 今 天 选 项 卡 中 的 所 有 面 板 都 查 询 Splunk REST API 今 天 的 许 可 证 使 用 情 况 面 板 此 面 板 可 评 估 当 天 的 许 可 证 使 用 情 况 以 及 跨 所 有 池 的 每 日 许 可 证 总 配 额 每 个 池 面 板 的 今 天 许 可 证 使 用 情 况 此 面 板 可 显 示 每 个 池 的 许 可 证 使 用 情 况 以 及 每 个 池 的 每 日 许 可 证 配 额 今 天 每 个 池 面 板 使 用 的 每 日 许 可 证 配 额 的 百 分 比 此 面 板 可 显 示 已 由 每 个 池 编 入 索 引 的 每 日 许 可 证 配 额 的 百 分 比 百 分 比 以 对 数 标 度 进 行 显 示 池 使 用 情 况 警 告 面 板 此 面 板 可 显 示 每 个 池 在 过 去 30 天 中 ( 或 自 应 用 了 最 后 一 个 许 可 证 重 设 密 钥 以 来 ) 所 收 到 的 软 警 告 和 硬 警 告 请 阅 读 本 手 册 中 的 关 于 许 可 证 违 规, 以 了 解 有 关 软 警 告 和 硬 警 告 以 及 许 可 证 违 规 的 详 细 信 息 从 服 务 器 使 用 情 况 警 告 面 板 对 于 每 台 许 可 证 从 服 务 器, 此 面 板 显 示 : 警 告 数 目 池 成 员 资 格 以 及 从 服 务 器 是 否 违 规 前 30 天 选 项 卡 单 击 前 30 天 选 项 卡 即 可 看 到 五 个 以 上 面 板 和 个 下 拉 选 项 这 些 面 板 中 的 所 有 可 视 化 元 素 限 制 了 显 示 出 来 的 主 机 来 源 来 源 类 型 索 引 池 ( 拆 分 所 依 据 的 任 何 字 段 ) 的 数 量 如 果 其 中 任 何 一 个 字 段 有 10 个 以 上 不 同 值, 第 10 个 之 后 的 值 将 被 标 记 为 其 他 我 们 已 使 用 timechart 将 所 显 示 出 来 的 值 的 最 大 数 量 设 置 为 10 希 望 这 在 大 多 数 时 候 能 给 您 提 供 足 够 多 的 信 息, 不 会 令 可 视 化 元 素 难 以 读 懂 这 些 面 板 所 使 用 的 数 据 都 是 使 用 license_usage.log,type=rolloversummary( 每 日 总 计 ) 集 合 来 的 如 果 您 的 许 可 证 主 服 务 器 中 的 时 间 达 到 本 地 午 夜, 它 不 会 为 当 天 生 成 RolloverSummary 事 件, 您 不 会 在 这 些 面 板 中 看 到 当 天 的 数 据 拆 分 依 据 : 无 拆 分 依 据 索 引 器 池 这 三 个 拆 分 依 据 选 项 不 需 另 行 说 明 请 阅 读 本 手 册 前 面 章 节 中 的 向 许 可 证 池 添 加 索 引 器 和 许 可 证 池 拆 分 依 据 : 来 源 来 源 类 型 主 机 索 引 关 于 这 四 个 拆 分 依 据 字 段 有 两 件 事 您 应 该 了 解 : 报 表 加 速 和 压 缩 67

68 报 表 加 速 按 数 据 来 源 来 源 类 型 和 主 机 拆 分 使 用 license_usage.log type=usage, 可 以 每 隔 一 分 钟 提 供 一 次 实 时 使 用 情 况 统 计 数 据 我 们 建 议 在 您 的 许 可 证 主 服 务 器 上 加 速 支 配 这 些 拆 分 依 据 选 项 的 报 表 ( 如 果 没 有 加 速, 搜 索 会 相 当 慢, 因 为 它 在 30 天 的 数 据 ( 以 每 分 钟 一 个 事 件 的 速 率 生 成 ) 中 搜 索 -- 事 件 数 量 很 大!) 默 认 情 况 下 对 于 此 报 表, 加 速 处 于 禁 用 状 态 要 加 速 报 表, 请 单 击 在 选 择 其 中 一 个 拆 分 依 据 值 时 显 示 在 信 息 消 息 中 的 链 接 也 可 以 在 设 置 > 搜 索 和 报 表 > 许 可 证 使 用 情 况 数 据 立 方 体 中 找 到 加 速 工 作 流 请 阅 读 报 表 手 册 中 的 加 速 报 表 请 注 意, 在 首 次 选 择 报 表 加 速 后, 它 可 能 会 花 费 长 达 10 分 钟 的 时 间 来 开 始 然 后 Splunk 将 花 费 一 些 时 间 来 构 建 加 速 摘 要 -- 一 般 为 分 钟 到 十 分 钟, 具 体 取 决 于 编 入 摘 要 的 数 据 量 只 有 在 加 速 完 成 构 建 后, 对 于 这 些 拆 分 依 据 选 项 才 会 有 更 快 速 的 性 能 但 在 第 一 次 运 行 加 速 后, 后 续 报 表 将 依 据 已 有 内 容 构 建, 以 将 报 表 保 持 在 最 新 状 态 ( 因 而 报 表 的 速 度 会 加 快 ) 您 应 只 在 第 一 次 启 用 报 表 加 速 时 会 等 待 较 长 时 间 重 要 提 示 : 请 仅 在 许 可 证 主 服 务 器 上 启 用 报 表 加 速 使 用 auto_summarize 在 savedsearches.conf 中 配 置 加 速 的 运 行 频 率 默 认 每 隔 10 分 钟 运 行 一 次 请 频 繁 运 行, 以 保 持 工 作 负 荷 小 而 稳 定 我 们 在 3 分 钟 处 每 10 分 钟 设 置 一 个 cron 可 以 在 auto_summarize.cron_schedule 中 配 置 此 设 置 压 缩 每 个 索 引 器 会 定 期 向 许 可 证 管 理 器 报 告 已 编 入 索 引 的 数 据 状 态 : 按 来 源 来 源 类 型 主 机 和 索 引 划 分 如 果 不 同 ( 来 源 来 源 类 型 主 机 索 引 ) 元 组 的 数 量 超 过 squash_threshold,splunk 会 压 缩 {host, source} 值, 仅 报 告 按 {sourcetype, index} 的 划 分 这 可 防 止 内 存 和 license_usage.log 行 快 速 增 长 由 于 对 其 他 字 段 的 压 缩, 仅 按 来 源 类 型 和 索 引 的 拆 分 可 确 保 获 得 完 整 的 报 表 ( 每 字 节 ) 如 果 这 两 个 字 段 有 许 多 不 同 值, 则 对 于 按 来 源 和 主 机 的 拆 分, 不 保 证 一 定 能 获 得 完 整 的 报 表 Splunk 会 报 告 编 入 索 引 的 完 整 数 量, 而 不 是 名 称 所 以 您 会 失 去 粒 度 ( 也 就 是 不 知 道 是 谁 消 耗 了 这 个 数 量 ), 但 仍 知 道 所 消 耗 的 数 量 为 多 少 可 以 在 server.conf 的 [license] 段 落 中 使 用 squash_threshold 设 置 配 置 压 缩 ( 但 要 慎 重 ) 可 以 增 加 此 值, 但 这 样 做 可 能 会 使 用 大 量 内 存, 所 以 请 在 更 改 前 咨 询 Splunk 支 持 工 程 师 如 果 发 生 了 压 缩,LURV 始 终 会 通 知 您 ( 在 UI 中 使 用 警 告 消 息 ) 如 果 您 发 现 您 需 要 粒 度 信 息, 则 可 从 metrics.log 使 用 per_host_thruput 获 得 该 信 息 平 均 每 日 数 据 量 的 前 5 个 值 对 于 按 已 从 拆 分 依 据 菜 单 中 选 择 的 字 段 拆 分 的 任 何 项 目, 前 5 个 面 板 可 显 示 其 平 均 和 最 大 每 日 使 用 量 的 前 五 个 值 请 注 意, 它 选 择 的 是 前 五 个 平 均 值 ( 而 不 是 峰 值 ) 因 此, 例 如, 假 设 您 有 不 止 五 个 来 源 类 型 来 源 类 型 F 通 常 比 其 他 值 小 很 多 但 是 有 一 个 简 短 峰 值 来 源 类 型 F 的 最 大 每 日 使 用 量 很 高, 但 是 它 的 平 均 使 用 量 可 能 仍 然 很 低 ( 因 为 它 所 有 天 的 使 用 量 都 很 低, 这 降 低 了 它 的 平 均 使 用 量 ) 由 于 此 面 板 选 择 前 五 个 平 均 值, 来 源 类 型 F 可 能 仍 不 会 显 示 在 此 视 图 中 使 用 LURV 请 阅 读 下 一 个 主 题 中 有 关 基 于 LURV 面 板 配 置 告 警 的 提 示 使 用 许 可 证 使 用 情 况 报 表 视 图 本 主 题 与 使 用 许 可 证 使 用 情 况 报 表 视 图 (LURV) 有 关 要 了 解 此 视 图, 请 阅 读 前 面 的 主 题 关 于 Splunk 的 许 可 证 使 用 情 况 报 表 视 图 设 置 告 警 您 可 以 将 任 何 LURV 面 板 变 成 一 个 告 警 例 如, 假 如 您 要 针 对 许 可 证 使 用 情 况 达 到 配 额 的 80% 设 置 一 个 告 警 从 今 天 使 用 的 每 日 许 可 证 配 额 的 百 分 比 面 板 开 始 单 击 面 板 左 下 角 的 在 搜 索 中 打 开 附 加 where '% used' > 80 然 后 选 择 另 存 为 > 告 警, 并 遵 循 告 警 向 导 执 行 操 作 Splunk Enterprise 附 带 一 些 您 可 以 启 用 的 预 配 置 告 警 请 参 阅 分 布 式 管 理 控 制 台 手 册 中 的 平 台 告 警 68

69 LURV 故 障 排 除 : 30 天 面 板 上 没 有 结 果 许 可 证 使 用 情 况 报 表 视 图 的 最 近 30 天 视 图 面 板 上 缺 少 结 果 表 示 搜 索 时 在 其 上 查 看 页 面 的 许 可 证 主 服 务 器 实 例 无 法 从 其 自 身 $SPLUNK_HOME/var/log/splunk/license_usage.log 文 件 中 查 找 到 事 件 这 通 常 由 以 下 原 因 之 一 引 起 : 许 可 证 主 服 务 器 配 置 为 将 事 件 转 发 到 索 引 器 ( 请 阅 读 分 布 式 搜 索 手 册 中 有 关 此 最 佳 做 法 的 更 多 信 息 ), 但 未 配 置 为 搜 索 头 通 过 将 所 有 索 引 器 添 加 到 被 许 可 证 主 服 务 器 转 发 事 件 作 为 搜 索 节 点 的 部 分 中, 这 很 容 易 解 决 许 可 证 主 服 务 器 不 从 它 自 己 的 $SPLUNK_HOME/var/log/splunk 目 录 中 读 取 事 件 ( 因 此 也 不 为 其 建 立 索 引 ) 如 果 [monitor://$splunk_home/var/log/splunk] 默 认 数 据 输 入 由 于 某 些 原 因 被 禁 用, 便 会 出 现 此 情 况 如 果 您 的 许 可 证 主 服 务 器 午 夜 时 关 闭, 则 您 的 数 据 可 能 会 出 现 间 隙 管 理 应 用 键 值 存 储 有 关 应 用 键 值 存 储 应 用 键 值 存 储 ( 或 KV 存 储 ) 提 供 在 Splunk 应 用 内 保 存 和 检 索 数 据 的 方 法, 从 而 允 许 您 管 理 和 维 护 应 用 程 序 的 状 态 以 下 是 Splunk 应 用 可 能 使 用 KV 存 储 的 一 些 方 法 : 跟 踪 事 件 查 看 系 统 ( 将 问 题 从 一 个 用 户 移 动 到 另 一 个 用 户 ) 中 的 工 作 流 保 留 用 户 提 供 的 环 境 资 产 列 表 控 制 任 务 队 列 当 用 户 与 应 用 进 行 交 互 时, 通 过 存 储 用 户 或 应 用 程 序 状 态 管 理 UI 会 话 存 储 用 户 元 数 据 通 过 Splunk 或 外 部 数 据 存 储 从 搜 索 查 询 缓 存 结 果 为 模 块 化 输 入 存 储 检 查 点 数 据 有 关 使 用 KV 存 储 的 信 息, 请 参 阅 Splunk 应 用 开 发 者 的 应 用 键 值 存 储 文 档 KV 存 储 如 何 使 用 您 的 部 署 KV 存 储 将 数 据 存 储 为 集 合 中 的 键 值 对 主 要 概 念 如 下 : 集 合 是 数 据 的 容 器, 与 数 据 库 表 类 似 集 合 存 在 于 给 定 应 用 的 上 下 文 中 记 录 包 含 数 据 的 每 个 条 目, 与 数 据 库 表 中 的 行 类 似 字 段 对 应 键 名 称, 与 数 据 库 表 中 的 列 类 似 字 段 将 数 据 值 包 含 为 JSON 文 件 尽 管 不 需 要, 您 还 可 强 制 限 定 字 段 值 的 数 据 类 型 ( 数 量 布 尔 时 间 和 字 符 串 ) _key 为 包 含 每 个 记 录 的 唯 一 ID 的 预 留 字 段 如 果 您 未 显 式 指 定 _key 值, 则 应 用 会 自 动 生 成 一 个 值 _user 为 包 含 每 个 记 录 的 用 户 ID 的 预 留 字 段 此 字 段 不 可 以 被 覆 盖 加 速 通 过 使 包 含 加 速 字 段 的 搜 索 更 快 的 返 回 来 改 进 搜 索 性 能 加 速 在 易 于 遍 历 的 表 单 中 存 储 集 合 数 据 的 一 小 部 分 KV 存 储 驻 留 在 搜 索 头 的 文 件 在 搜 索 头 群 集 中, 如 果 任 何 节 点 收 到 写 入, 则 KV 存 储 会 将 写 入 委 派 到 KV 存 储 管 理 员 但 是,KV 存 储 保 持 本 地 读 取 系 统 要 求 KV 存 储 在 所 有 Splunk Enterprise 64 位 构 建 中 可 用 并 被 支 持 它 在 32 位 Splunk Enterprise 构 建 中 不 可 用 KV 存 储 在 通 用 转 发 器 中 也 不 可 用 请 参 阅 Splunk Enterprise 系 统 要 求 默 认 情 况 下,KV 存 储 使 用 端 口 8191 您 可 以 更 改 server.conf 的 [kvstore] 段 落 中 的 端 口 号 有 关 Splunk Enterprise 使 用 的 其 他 端 口 的 信 息, 请 参 阅 分 布 式 搜 索 手 册 中 的 搜 索 头 群 集 的 系 统 要 求 和 其 他 部 署 注 意 事 项 有 关 您 可 以 在 KV 存 储 中 更 改 的 其 他 配 置 的 信 息, 请 参 阅 server.conf.spec 中 的 KV 存 储 配 置 部 分 关 于 Splunk FIPS 要 通 过 KV 存 储 使 用 FIPS, 请 参 阅 server.conf.spec 中 的 KV 存 储 配 置 部 分 如 果 未 启 用 Splunk FIPS, 这 些 设 置 将 被 忽 略 69

70 如 果 您 启 用 了 FIPS 但 未 提 供 需 要 的 设 置 (cacertpath sslkeyspath 和 sslkeyspassword),kv 存 储 不 会 运 行 在 splunkd.log 中 和 在 执 行 splunk start 的 控 制 台 上 查 找 错 误 消 息 决 定 您 的 应 用 是 否 使 用 KV 存 储 默 认 情 况 下,KV 存 储 在 Splunk Enterprise 6.2+ 上 启 用 使 用 KV 存 储 的 应 用 通 常 具 有 定 义 在 $SPLUNK_HOME/etc/apps/<app name>/default 中 的 collections.conf 另 外,transforms.conf 将 引 用 具 有 external_type = kvstore 的 集 合 使 用 KV 存 储 要 使 用 KV 存 储 : 1. 使 用 配 置 文 件 或 REST API 创 建 集 合 并 选 择 定 义 具 有 数 据 类 型 的 字 段 列 表 2. 使 用 搜 索 查 找 命 令 和 Splunk REST API 执 行 创 建 - 读 取 - 更 新 - 删 除 (CRUD) 操 作 3. 使 用 REST API 管 理 集 合 在 Splunk Enterprise 部 署 上 监 视 其 影 响 您 可 通 过 分 布 式 管 理 控 制 台 上 的 两 个 视 图 监 视 KV 存 储 性 能 一 个 视 图 提 供 整 个 部 署 的 深 入 见 解 ( 请 参 阅 分 布 式 管 理 控 制 台 手 册 中 的 KV 存 储 : 部 署 ) 另 一 个 视 图 提 供 有 关 每 个 搜 索 头 上 KV 存 储 操 作 的 信 息 ( 请 参 阅 分 布 式 管 理 控 制 台 手 册 中 的 KV 存 储 : 实 例 ) 备 份 KV 存 储 数 据 使 用 标 准 备 份 和 存 储 工 具 与 您 组 织 使 用 的 程 序 备 份 和 存 储 您 的 KV 存 储 数 据 要 备 份 KV 存 储 数 据, 将 所 有 文 件 备 份 到 server.conf 文 件 的 [kvstore] 段 落 的 dbpath 参 数 中 指 定 的 路 径 有 关 Splunk Enterprise 中 备 份 策 略 的 一 般 信 息, 请 参 阅 管 理 索 引 器 和 索 引 器 群 集 手 册 中 的 选 择 您 的 备 份 策 略 备 份 KV 存 储 本 主 题 介 绍 如 何 安 全 地 备 份 和 恢 复 KV 存 储 备 份 KV 存 储 在 执 行 这 些 步 骤 之 前, 确 保 熟 悉 标 准 的 备 份 和 存 储 工 具 以 及 您 组 织 使 用 的 程 序 1. 要 备 份 KV 存 储 数 据, 首 先 关 闭 将 从 中 备 份 KV 存 储 的 Splunk 实 例 2. 备 份 server.conf 文 件 中 [kvstore] 段 落 的 dbpath 参 数 中 指 定 的 路 径 下 的 所 有 文 件 3. 在 单 一 节 点 上, 备 份 $SPLUNK_DB 路 径 中 找 到 的 kvstore 文 件 夹 默 认 情 况 下, 路 径 为 /var/lib/splunk/kvstore 如 果 使 用 搜 索 头 群 集, 备 份 任 何 群 集 成 员 上 的 KV 存 储 数 据 恢 复 KV 存 储 数 据 注 意 : 为 了 成 功 恢 复 KV 存 储 数 据,KV 存 储 集 合 collections.conf 必 须 已 经 存 在 于 KV 存 储 将 恢 复 到 的 Splunk 实 例 上 如 果 您 在 恢 复 KV 存 储 数 据 之 后 创 建 集 合 collections.conf, 则 KV 存 储 数 据 将 会 丢 失 要 将 KV 存 储 数 据 恢 复 到 与 备 份 它 的 相 同 的 搜 索 头 群 集, 在 每 个 群 集 成 员 上 恢 复 kvstore 文 件 夹 例 如, 在 有 三 个 成 员 的 搜 索 头 群 集 上 : 1. 从 搜 索 头 群 集 的 一 个 成 员 上 备 份 KV 存 储 数 据 2. 停 止 每 个 群 集 成 员 3. 恢 复 备 份 的 KV 存 储 数 据 文 件 夹 到 每 个 群 集 成 员 上 4. 启 动 每 个 群 集 成 员 将 KV 存 储 数 据 恢 复 到 搜 索 头 群 集 中 添 加 的 新 成 员 上 将 KV 存 储 数 据 恢 复 到 新 成 员 上, 并 添 加 新 成 员 到 群 集 中 例 如, 在 有 三 个 成 员 的 搜 索 头 群 集 上 : 70

71 1. 从 搜 索 头 群 集 的 一 个 成 员 上 备 份 KV 存 储 数 据 2. 在 您 想 添 加 到 搜 索 头 群 集 的 搜 索 头 上 : a. 添 加 成 员 到 群 集 请 参 阅 分 布 式 搜 索 手 册 中 的 添 加 群 集 成 员 b. 停 止 成 员 c. 恢 复 KV 存 储 数 据 d. 启 动 新 成 员 从 原 有 的 搜 索 头 群 集 恢 复 KV 存 储 数 据 到 新 的 搜 索 头 群 集 注 意 : 该 程 序 假 定 您 正 在 使 用 新 的 Splunk Enterprise 实 例 创 建 新 的 搜 索 头 群 集 1. 从 当 前 ( 原 有 ) 搜 索 头 群 集 的 一 个 搜 索 头 上 备 份 KV 存 储 数 据 2. 要 在 新 的 搜 索 头 群 集 上 恢 复 KV 存 储 数 据, 搜 索 头 群 集 必 须 使 用 一 个 成 员 进 行 初 始 化, 并 在 启 动 一 个 成 员 之 前 恢 复 KV 存 储 数 据 文 件 夹, 然 后 添 加 余 下 的 搜 索 头 到 搜 索 头 群 集 环 境 本 示 例 使 用 一 个 原 有 的 三 节 点 搜 索 头 群 集 环 境 和 一 个 新 的 三 节 点 搜 索 头 群 集 环 境 : 从 原 有 搜 索 头 群 集 的 一 个 搜 索 头 上 备 份 数 据 在 搜 索 头 ( 其 将 在 新 的 搜 索 头 群 集 环 境 中 ) 上 使 用 您 正 恢 复 的 KV 存 储 数 据 相 同 的 集 合 名 称 创 建 KV 存 储 集 合 通 过 replication_factor=1 初 始 化 搜 索 头 群 集 停 止 Splunk 实 例 并 恢 复 KV 存 储 数 据 清 理 KV 存 储 群 集 这 会 从 之 前 的 群 集 上 移 除 群 集 信 息 : splunk clean kvstore -cluster 只 需 通 过 一 个 搜 索 头 启 动 Splunk 实 例 和 bootstrap 在 KV 存 储 已 恢 复 到 搜 索 头 ( 其 将 在 新 的 搜 索 头 群 集 环 境 中 ) 上 之 后, 现 在 您 可 以 向 其 中 添 加 其 他 的 新 搜 索 头 群 集 成 员 完 成 之 后, 转 到 并 更 改 每 个 搜 索 头 上 的 replication_factor 为 所 需 的 复 制 因 子 数, 然 后 执 行 滚 动 重 新 启 动 认 识 Splunk 应 用 应 用 和 加 载 项 用 户 经 常 咨 询 应 用 和 加 载 项 的 定 义, 以 便 确 定 它 们 彼 此 之 间 的 区 别 没 有 明 确 的 标 准 来 统 一 区 分 应 用 和 加 载 项 两 者 都 是 您 安 装 在 Splunk Enterprise 实 例 上 的 配 置 打 包 集, 并 都 使 实 例 更 容 易 与 其 他 技 术 或 供 应 商 集 成, 或 向 它 们 插 入 数 据 应 用 一 般 提 供 泛 的 用 户 界 面, 使 您 能 利 用 您 的 数 据 工 作, 而 且 它 们 经 常 使 用 一 个 或 多 个 加 载 项 以 插 入 不 同 类 型 的 数 据 加 载 项 一 般 启 用 Splunk Enterprise 或 Splunk 应 用 以 插 入 或 映 射 特 定 类 型 的 数 据 对 于 管 理 员 用 户, 应 用 和 加 载 项 功 能 两 者 作 为 帮 助 您 获 得 Splunk Enterprise 中 的 数 据 然 后 有 效 使 用 这 些 数 据 的 工 具, 它 们 的 区 别 造 成 的 影 响 应 该 很 小 对 于 应 用 开 发 人 员, 区 别 造 成 的 影 响 更 大 : 关 于 开 发 应 用 的 指 南, 请 参 阅 dev.splunk.com 应 用 应 用 是 运 行 在 Splunk Enterprise 上 的 应 用 程 序 即 装 即 用,Splunk Enterprise 包 括 一 个 使 您 能 利 用 您 的 数 据 的 默 认 基 本 应 用 : 搜 索 和 报 表 应 用 对 于 基 本 应 用 不 能 解 决 的 用 例, 您 可 以 在 Splunk Enterprise 实 例 上 安 装 很 多 其 他 应 用, 有 些 是 免 费 的, 有 些 是 付 费 的 示 例 包 括 Splunk App for Microsoft Exchange Splunk App for Enterprise Security 和 Splunk DB Connect 一 个 应 用 可 以 使 用 一 个 或 多 个 加 载 项, 以 方 便 它 集 合 或 映 射 特 定 类 型 的 数 据 加 载 项 加 载 项 运 行 在 Splunk Enterprise 上 为 应 用 提 供 特 定 的 功 能, 如 导 入 数 据 映 射 数 据 或 提 供 已 保 存 的 搜 索 和 宏 示 例 包 括 Splunk Add-on for Checkpoint OPSEC LEA Splunk Add-on for Box 和 Splunk Add-on for McAfee 71

72 应 用 和 加 载 项 支 持 和 认 证 任 何 人 都 可 以 为 Splunk 软 件 开 发 应 用 或 加 载 项 Splunk 和 我 们 社 区 的 成 员 创 建 应 用 和 加 载 项, 并 通 过 Splunkbase( 在 线 应 用 市 场 ) 与 Splunk 软 件 的 其 他 用 户 共 享 它 们 Splunk 不 支 持 Splunkbase 上 的 所 有 应 用 和 加 载 项 Splunkbase 中 的 标 签 指 示 每 个 应 用 或 加 载 项 由 谁 支 持 Splunk 支 持 团 队 仅 接 受 Splunkbase 上 显 示 Splunk 支 持 标 签 的 应 用 和 加 载 项 相 关 的 案 例, 并 回 答 其 相 关 问 题 一 些 开 发 人 员 会 支 持 他 们 自 己 的 应 用 和 加 载 项 这 些 应 用 和 加 载 项 在 Splunkbase 上 显 示 开 发 人 员 支 持 标 签 Splunk 开 发 社 区 支 持 在 Splunkbase 上 显 示 社 区 支 持 标 签 的 应 用 和 加 载 项 此 外, 应 用 开 发 人 员 可 以 为 他 们 的 应 用 或 加 载 项 获 得 Splunk 认 证 这 意 味 着 Splunk 已 经 检 查 了 应 用 或 加 载 项, 并 发 现 它 符 合 Splunk 开 发 的 最 佳 做 法 但 是, 认 证 不 意 味 着 Splunk 支 持 应 用 或 加 载 项 例 如, 发 布 在 Splunkbase 上 并 通 过 Splunk 认 证 的 由 社 区 开 发 人 员 创 建 的 加 载 项 不 被 Splunk 支 持 在 Splunkbase 上 查 找 Splunk 支 持 标 签 以 确 定 Splunk 是 否 支 持 该 应 用 或 加 载 项 搜 索 和 报 表 应 用 首 次 安 装 并 登 录 Splunk 时, 您 将 进 入 Splunk 主 页 此 主 页 将 显 示 已 为 您 预 先 安 装 的 应 用 中 的 单 击 应 用 默 认 情 况 下,Splunk 提 供 搜 索 和 报 表 应 用 此 界 面 提 供 了 Splunk 的 核 心 功 能, 设 计 用 于 一 般 用 途 当 您 第 一 次 登 录 并 提 供 搜 索 字 段 时, 此 应 用 显 示 在 主 页 顶 部, 您 可 以 立 即 开 始 使 用 它 进 入 到 搜 索 和 报 表 应 用 ( 通 过 运 行 搜 索 或 单 击 主 页 中 的 应 用 ) 后, 可 以 使 用 菜 单 栏 选 项 选 择 下 列 项 目 : 搜 索 : 搜 索 索 引 有 关 更 多 信 息, 请 参 阅 搜 索 教 程 中 的 使 用 Splunk 搜 索 数 据 透 视 表 : 使 用 数 据 模 型 为 数 据 快 速 设 计 并 生 成 表 格 图 表 和 可 视 化 元 素 有 关 更 多 信 息, 请 参 阅 数 据 透 视 表 手 册 报 表 : 将 搜 索 变 成 报 表 有 关 更 多 信 息, 请 参 阅 搜 索 教 程 中 的 保 存 和 共 享 报 表 告 警 : 为 Splunk 搜 索 和 报 表 设 置 告 警 有 关 更 多 信 息, 请 参 阅 告 警 手 册 仪 表 板 : 利 用 预 定 义 的 仪 表 板 或 自 己 创 建 请 参 阅 仪 表 板 和 可 视 化 手 册 配 置 在 应 用 中 打 开 的 Splunk Web 可 以 配 置 Splunk Web, 以 使 其 在 所 选 特 定 应 用 而 不 是 Splunk 主 页 中 打 开 可 以 将 Splunk Web 设 置 为 对 于 所 有 用 户 均 在 特 定 应 用 中 打 开, 也 可 以 根 据 特 定 用 户 匹 配 应 用 为 单 一 用 户 跳 过 Splunk 主 页 您 可 以 对 Splunk Web 进 行 配 置, 这 样 在 用 户 登 录 时, 可 以 直 接 进 入 您 选 择 的 应 用, 而 不 是 Splunk 主 页 使 搜 索 应 用 成 为 用 户 的 默 认 登 录 应 用 : 1. 在 该 用 户 的 本 地 目 录 中 创 建 名 为 user-prefs.conf 的 文 件 : 72

73 etc/users/<user>/user-prefs/local/user-prefs.conf 对 于 admin 用 户, 该 文 件 应 位 于 : etc/users/admin/user-prefs/local/user-prefs.conf 对 于 test 用 户, 它 应 位 于 : etc/users/test/user-prefs/local/user-prefs.conf 2. 在 user-prefs.conf 文 件 中 加 入 下 列 行 : default_namespace = search 为 所 有 用 户 跳 过 Splunk 主 页 您 可 以 为 所 有 用 户 指 定 当 它 们 登 录 后 进 入 的 默 认 应 用 例 如, 如 果 要 将 搜 索 应 用 作 为 全 局 默 认 应 用, 则 应 编 辑 $SPLUNK_HOME/etc/apps/user-prefs/local/user-prefs.conf 并 指 定 : [general_default] default_namespace = search 注 意 : 如 果 用 户 无 权 访 问 搜 索 应 用, 则 会 显 示 出 错 从 哪 里 获 得 更 多 应 用 和 加 载 项 您 可 以 在 Splunkbase 上 找 到 新 的 应 用 和 加 载 项 : 您 也 可 以 在 Splunk Enterprise 主 页 上 浏 览 新 应 用 如 果 您 已 连 接 到 Internet 如 果 Splunk Enterprise 服 务 器 或 客 户 端 计 算 机 已 连 接 到 Internet, 则 可 以 从 主 页 导 航 到 应 用 浏 览 器 您 可 以 单 击 您 上 一 次 安 装 的 应 用 下 方 的 + 符 号 以 直 接 转 到 应 用 浏 览 器 您 也 可 以 单 击 应 用 旁 边 的 齿 轮 以 转 到 应 用 管 理 器 页 面 单 击 浏 览 更 多 应 用 以 转 到 应 用 浏 览 器 重 要 提 示 : 如 果 Splunk Web 位 于 代 理 服 务 器 之 后, 您 可 能 会 在 访 问 Splunkbase 时 遇 到 问 题 要 解 决 此 问 题, 您 需 要 遵 照 指 定 代 理 服 务 器 中 的 说 明 来 设 置 HTTP_PROXY 环 境 变 量 如 果 您 未 连 接 到 Internet 如 果 您 的 Splunk Enterprise 服 务 器 和 客 户 端 未 连 接 到 Internet, 则 必 须 首 先 从 Splunkbase 下 载 应 用, 然 后 将 其 复 制 到 您 的 服 务 器 上 : 1. 从 具 有 Internet 连 接 的 计 算 机 上, 浏 览 Splunkbase 以 找 到 所 需 的 应 用 或 加 载 项 2. 下 载 应 用 或 加 载 项 3. 下 载 之 后, 将 其 复 制 到 您 的 Splunk Enterprise 服 务 器 上 4. 将 其 放 入 您 的 $SPLUNK_HOME/etc/apps 目 录 中 73

74 5. 通 过 诸 如 tar -xvf( 在 *nix 上 ) 或 WinZip( 在 Windows 上 ) 等 工 具 来 解 压 您 的 应 用 或 加 载 项 请 注 意, 虽 然 Splunk 应 用 和 加 载 项 使 用.SPL 扩 展 名 进 行 打 包, 但 其 内 部 仍 为 tar 和 gzip 格 式 您 可 以 需 要 强 制 您 的 工 具 识 别 此 扩 展 名 6. 您 可 能 需 要 重 新 启 动 Splunk Enterprise, 这 取 决 于 应 用 或 加 载 项 的 内 容 7. 现 在, 您 的 应 用 或 加 载 项 已 安 装 就 绪 如 果 它 具 有 Web UI 组 件, 您 还 可 以 从 Splunk 主 页 上 使 用 它 应 用 部 署 概 述 本 主 题 提 供 关 于 您 可 用 于 在 常 见 Splunk 软 件 环 境 中 部 署 Splunk 应 用 和 加 载 项 的 方 法 概 述 有 关 应 用 和 加 载 项 部 署 的 更 多 详 细 信 息, 请 参 阅 特 定 的 Splunk 应 用 文 档, 或 参 阅 Splunk 加 载 项 手 册 中 的 将 Splunk 加 载 项 安 装 于 何 处 前 提 条 件 您 必 须 具 有 一 个 现 成 的 Splunk 平 台 部 署, 在 其 上 安 装 Splunk 应 用 和 加 载 项 部 署 方 法 有 种 方 法 可 将 应 用 和 加 载 项 部 署 到 Splunk 平 台 上 要 使 用 正 确 的 部 署 方 法 取 决 于 特 定 Splunk 软 件 部 署 的 以 下 特 性 : 部 署 架 构 ( 单 实 例 或 分 布 式 ) 群 集 类 型 ( 搜 索 头 群 集 和 / 或 索 引 器 群 集 ) 位 置 ( 本 地 或 在 Splunk Cloud 中 ) 部 署 架 构 有 两 种 基 本 的 Splunk Enterprise 部 署 架 构 : 单 实 例 部 署 : 在 单 实 例 部 署 中, 一 个 Splunk Enterprise 实 例 既 用 作 搜 索 头, 又 用 作 索 引 器 分 布 式 部 署 : 分 布 式 部 署 会 包 括 多 个 Splunk Enterprise 组 件, 其 中 包 含 搜 索 头 索 引 器 和 转 发 器 请 参 阅 分 布 式 部 署 手 册 中 的 使 用 Splunk Enterprise 组 件 调 整 部 署 规 模 分 布 式 部 署 也 包 括 标 准 独 立 组 件 和 / 或 群 集 组 件, 其 中 包 含 搜 索 头 群 集 索 引 器 群 集 和 多 站 点 群 集 请 参 阅 分 布 式 部 署 手 册 中 的 分 布 式 Splunk Enterprise 概 述 单 实 例 部 署 要 在 单 实 例 上 部 署 应 用, 从 Splunkbase 下 载 应 用 到 本 地 主 机, 然 后 使 用 Splunk Web 安 装 应 用 一 些 应 用 目 前 不 支 持 通 过 Splunk Web 安 装 确 保 在 安 装 之 前 查 看 特 定 应 用 的 安 装 说 明 分 布 式 部 署 您 可 以 使 用 以 下 方 法 在 分 布 式 环 境 中 部 署 应 用 : 使 用 Splunk Web 在 每 个 组 件 上 手 动 安 装 应 用, 或 通 过 命 令 行 手 动 安 装 应 用 使 用 部 署 服 务 器 安 装 应 用 部 署 服 务 器 自 动 分 发 新 的 应 用 应 用 更 新 和 某 些 配 置 更 新 到 搜 索 头 索 引 器 和 转 发 器 上 请 参 阅 更 新 Splunk Enterprise 实 例 中 的 关 于 部 署 服 务 器 和 转 发 器 管 理 或 者, 您 可 以 使 用 第 三 方 配 置 管 理 工 具 来 部 署 应 用, 例 如 : Chef Puppet Salt Windows 配 置 工 具 大 多 数 情 况 下, 您 必 须 将 Splunk 应 用 安 装 在 搜 索 头 索 引 器 和 转 发 器 上 要 确 定 您 必 须 将 应 用 安 装 在 哪 个 Splunk Enterprise 组 件 上, 请 参 阅 特 定 应 用 的 安 装 说 明 将 应 用 部 署 到 群 集 Splunk 分 布 式 部 署 包 括 以 下 这 些 群 集 类 型 : 搜 索 头 群 集 索 引 器 群 集 74

75 您 可 以 使 用 配 置 软 件 包 方 法 将 应 用 部 署 到 索 引 器 和 搜 索 头 群 集 成 员 上 搜 索 头 群 集 要 将 应 用 部 署 到 搜 索 头 群 集, 您 必 须 使 用 Deployer Deployer 是 将 应 用 和 配 置 更 新 分 发 给 搜 索 头 群 集 成 员 的 Splunk Enterprise 实 例 Deployer 不 能 是 搜 索 头 群 集 的 成 员, 而 且 必 须 在 搜 索 头 群 集 之 外 运 行 请 参 阅 分 布 式 搜 索 手 册 中 的 使 用 deployer 分 布 应 用 和 配 置 更 新 警 告 : 切 勿 从 deployer 之 外 的 任 何 实 例 上 将 配 置 软 件 包 部 署 到 搜 索 头 群 集 如 果 您 在 非 -deployer 实 例 ( 例 如 群 集 成 员 ) 上 运 行 apply schcluster-bundles 命 令, 该 命 令 会 删 除 所 有 现 有 的 应 用 和 所 有 搜 索 头 群 集 成 员 上 用 户 生 成 的 内 容! 索 引 器 群 集 要 将 应 用 部 署 到 索 引 器 群 集 中 的 对 等 节 点 ( 索 引 器 ) 上, 首 先 您 必 须 将 应 用 放 在 索 引 器 群 集 主 节 点 上 适 当 的 位 置, 然 后 使 用 配 置 软 件 包 方 法 来 将 应 用 分 发 到 对 等 节 点 您 可 以 使 用 Splunk Web 或 CLI 将 配 置 软 件 包 应 用 到 对 等 节 点 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 索 引 器 群 集 中 的 更 新 通 用 对 等 节 点 配 置 和 应 用 当 您 无 法 使 用 部 署 服 务 器 将 应 用 部 署 到 对 等 节 点 时, 您 可 以 使 用 它 来 分 发 应 用 到 索 引 器 群 集 主 节 点 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 索 引 器 群 集 中 的 使 用 部 署 服 务 器 分 发 应 用 到 主 节 点 部 署 应 用 到 Splunk Cloud 如 果 您 想 要 部 署 应 用 或 加 载 项 到 Splunk Cloud, 请 联 系 Splunk 支 持 以 获 得 指 导 支 持 团 队 可 以 部 署 应 用 或 加 载 项 到 部 署 组 件 (Splunk Cloud 用 户 不 能 访 问 ) 上 部 署 加 载 项 到 Splunk Light 您 可 以 安 装 并 启 用 选 择 有 限 的 加 载 项, 在 Splunk Light 实 例 上 配 置 新 的 数 据 输 入 请 参 阅 Splunk Light 入 门 手 册 中 的 配 置 加 载 项 来 添 加 数 据 应 用 架 构 和 对 象 所 有 权 应 用 通 常 由 Splunk 知 识 对 象 构 建 而 成 Splunk 知 识 包 括 诸 如 保 存 的 搜 索 事 件 类 型 标 记 ( 用 于 增 强 您 的 Splunk 数 据, 方 便 您 找 到 所 需 信 息 的 项 目 ) 等 对 象 注 意 : 偶 尔 您 可 能 也 会 将 对 象 保 存 到 加 载 项, 但 这 并 不 常 见 应 用 和 加 载 项 都 存 储 在 应 用 目 录 中 在 很 少 的 情 况 下 您 需 要 将 对 象 保 存 到 加 载 项, 您 可 按 照 本 主 题 中 为 应 用 介 绍 的 管 理 方 式 来 管 理 加 载 项 任 何 登 录 到 Splunk Web 的 用 户 都 可 以 在 所 使 用 的 应 用 下 创 建 知 识 对 象 并 将 其 保 存 到 相 应 的 用 户 目 录 下 ( 假 设 具 有 足 够 权 限 ) 这 是 一 种 默 认 行 为 - 当 用 户 保 存 某 个 对 象 时, 该 对 象 会 进 入 当 前 所 运 行 的 应 用 下 相 应 的 用 户 目 录 中 用 户 目 录 位 于 $SPLUNK_HOME/etc/users/<user_name>/<app_name>/local 中 一 旦 用 户 在 该 应 用 中 保 存 了 对 象 之 后, 这 一 对 象 仅 对 此 用 户 ( 当 其 使 用 该 应 用 时 ) 可 用, 除 非 用 户 采 取 以 下 做 法 之 一 : 提 升 此 对 象, 以 使 其 对 有 权 访 问 该 应 用 的 所 有 用 户 可 用 将 此 对 象 限 定 于 特 定 角 色 或 用 户 ( 仍 然 在 该 应 用 上 下 文 中 ) 使 此 对 象 对 所 有 应 用 加 载 项 和 用 户 全 局 可 用 ( 除 非 您 明 确 将 其 限 定 于 特 定 角 色 / 用 户 ) 注 意 : 用 户 必 须 对 应 用 或 加 载 项 具 有 写 入 权 限, 方 能 将 对 象 提 升 到 该 级 别 提 升 和 共 享 Splunk 知 识 用 户 可 以 通 过 权 限 对 话 框 与 其 他 用 户 共 享 他 们 的 Splunk 知 识 对 象 这 意 味 着 对 应 用 或 加 载 项 具 有 读 取 权 限 的 用 户 可 以 看 到 共 享 的 对 象 并 使 用 它 们 例 如, 如 果 某 个 用 户 共 享 了 一 个 保 存 的 搜 索, 则 其 他 用 户 可 以 看 到 此 搜 索, 但 必 须 处 于 创 建 搜 索 所 在 的 应 用 中 因 此, 如 果 您 在 应 用 "Fflanda" 中 创 建 了 一 个 保 存 的 搜 索 并 共 享, 则 Fflanda 的 其 他 用 户 可 以 看 到 保 存 的 搜 索, 前 提 是 他 们 对 Fflanda 具 有 读 取 权 限 具 有 写 入 权 限 的 用 户 可 以 将 其 对 象 提 升 到 应 用 级 别 这 意 味 着 对 象 将 从 其 用 户 目 录 复 制 到 应 用 的 目 录 - 从 : $SPLUNK_HOME/etc/users/<user_name>/<app_name>/local/ 至 : $SPLUNK_HOME/etc/apps/<app_name>/local/ 只 有 那 些 在 应 用 中 具 有 写 入 权 限 的 用 户 可 以 执 行 此 操 作 使 Splunk 知 识 对 象 全 局 可 用 75

76 最 后, 在 提 升 对 象 时, 用 户 可 以 决 定 他 们 是 否 希 望 自 己 的 对 象 全 局 可 用, 这 意 味 着 所 有 的 应 用 都 能 够 看 到 它 同 样, 用 户 必 须 对 原 始 应 用 具 有 写 入 权 限 最 方 便 的 做 法 是 在 Splunk Web 中 完 成 此 操 作, 不 过 您 也 可 以 直 接 将 相 关 对 象 移 动 到 所 需 目 录 中 要 将 应 用 D 中 属 于 用 户 C 的 对 象 A( 在 B.conf 中 定 义 ) 全 局 可 用 : 1. 将 定 义 对 象 A 的 段 落 从 $SPLUNK_HOME/etc/users/C/D/B.conf 移 动 到 $SPLUNK_HOME/etc/apps/D/local/B.conf 2. 在 该 应 用 的 local.meta 文 件 中, 向 对 象 A 的 段 落 部 分 添 加 设 置 export = system 如 果 此 对 象 的 段 落 不 存 在, 您 可 以 添 加 相 应 的 段 落 例 如, 要 提 升 由 用 户 fflanda 在 *Nix 应 用 中 创 建 的 事 件 类 型 rhallen 以 使 其 全 局 可 用 : 1. 将 [rhallen] 段 落 从 $SPLUNK_HOME/etc/users/fflanda/unix/local/eventtypes.conf 移 动 到 $SPLUNK_HOME/etc/apps/unix/local/eventtypes.conf 2. 添 加 以 下 段 落 : [eventtypes/rhallen] export = system 至 $SPLUNK_HOME/etc/apps/unix/metadata/local.meta 注 意 : 如 果 您 是 从 搜 索 应 用 中 共 享 事 件 类 型, 则 无 需 将 export = system 设 置 添 加 到 local.meta, 因 为 默 认 情 况 下 该 应 用 会 全 局 导 出 其 所 有 事 件 这 适 用 于 哪 些 对 象? 这 里 讨 论 的 知 识 对 象 仅 限 于 那 些 受 访 问 控 制 机 制 影 响 的 对 象 这 些 对 象 也 称 为 应 用 级 别 对 象, 可 以 通 过 在 用 户 菜 单 栏 中 选 择 应 用 > 管 理 应 用 来 查 看 它 们 所 有 用 户 都 可 以 使 用 此 页 面 来 管 理 他 们 创 建 和 共 享 的 任 何 对 象 这 些 对 象 包 括 : 保 存 的 搜 索 和 报 表 事 件 类 型 视 图 和 仪 表 板 字 段 提 取 还 有 一 些 仅 具 有 管 理 员 权 限 ( 或 对 特 定 对 象 具 有 读 取 / 写 入 权 限 ) 用 户 可 用 的 系 统 级 别 对 象 这 些 对 象 包 括 : 用 户 角 色 验 证 分 布 式 搜 索 输 入 输 出 部 署 许 可 证 服 务 器 设 置 ( 例 如 : 主 机 名 端 口 等 ) 重 要 提 示 : 如 果 您 添 加 了 一 个 输 入,Splunk 会 将 该 输 入 添 加 到 属 于 您 当 前 所 用 应 用 的 inputs.conf 副 本 中 这 意 味 着 如 果 您 直 接 从 搜 索 导 航 到 您 的 应 用, 则 您 的 输 入 将 被 添 加 到 $SPLUNK_HOME/etc/apps/search/local/inputs.conf, 而 这 可 能 并 不 是 您 希 望 的 行 为 应 用 配 置 和 知 识 优 先 顺 序 当 您 向 Splunk 添 加 知 识 时, 它 是 在 您 当 前 所 在 的 应 用 上 下 文 中 添 加 的 当 Splunk 评 估 配 置 和 知 识 时, 它 会 按 照 特 定 的 优 先 顺 序 来 评 估 它 们, 因 此 您 可 以 控 制 在 哪 种 上 下 文 中 使 用 哪 些 知 识 定 义 与 配 置 参 阅 关 于 配 置 文 件 以 了 解 有 关 Splunk 配 置 文 件 和 优 先 顺 序 的 更 多 信 息 管 理 应 用 和 加 载 项 对 象 当 Splunk 用 户 创 建 应 用 或 加 载 项 时, 将 创 建 一 个 构 成 应 用 或 加 载 项 的 对 象 集 合 这 些 对 象 可 以 包 括 视 图 命 令 导 航 项 目 事 件 类 型 保 存 的 搜 索 报 表 等 等 其 中 每 个 对 象 均 具 有 关 联 的 权 限, 以 确 定 谁 能 够 查 看 或 改 变 它 们 默 认 情 况 下, 管 理 员 用 户 有 权 限 改 变 Splunk 系 统 中 的 所 有 对 象 参 阅 这 些 主 题 以 了 解 更 多 信 息 : 有 关 应 用 和 加 载 项 的 概 述, 请 参 阅 本 手 册 中 的 应 用 和 加 载 项 是 什 么? 有 关 应 用 和 加 载 项 权 限 的 更 多 信 息, 请 参 阅 本 手 册 中 的 应 用 架 构 和 对 象 所 有 权 76

77 要 了 解 有 关 如 何 创 建 您 自 己 的 应 用 和 加 载 项 的 更 多 信 息, 请 参 阅 开 发 用 于 Splunk Web 的 视 图 和 应 用 手 册 在 Splunk Web 中 查 看 和 管 理 应 用 或 加 载 项 对 象 要 使 用 Splunk Web 来 查 看 您 的 Splunk 部 署 中 的 对 象, 您 可 以 采 用 以 下 方 法 : 您 可 以 : 要 一 次 查 看 您 的 系 统 中 所 有 应 用 / 加 载 项 的 对 象 : 设 置 > 所 有 配 置 要 查 看 所 有 保 存 的 搜 索 和 报 表 对 象 : 设 置 > 搜 索 和 报 表 要 查 看 所 有 事 件 类 型 : 设 置 > 事 件 类 型 要 查 看 所 有 字 段 提 取 : 设 置 > 字 段 在 任 何 具 有 排 序 箭 头 的 页 面 上 查 看 和 操 作 对 象 使 用 应 用 上 下 文 栏, 可 以 对 视 图 进 行 过 滤 以 只 查 看 那 些 来 自 给 定 应 用 或 加 载 项 的 对 象 特 定 用 户 拥 有 的 对 象 或 包 含 特 定 字 符 串 的 对 象 使 用 应 用 上 下 文 栏 上 的 搜 索 字 段 来 在 相 关 字 段 中 搜 索 字 符 串 默 认 情 况 下,Splunk 会 在 所 有 可 用 字 段 中 搜 索 字 符 串 要 在 特 定 字 段 中 执 行 搜 索, 应 指 定 相 应 的 字 段 支 持 通 配 符 注 意 : 有 关 搜 索 命 令 页 面 上 各 个 搜 索 命 令 的 信 息, 请 参 阅 搜 索 参 考 手 册 在 CLI 中 更 新 应 用 或 加 载 项 要 使 用 CLI 来 更 新 您 的 Splunk 实 例 上 的 现 有 应 用 :./splunk install app <app_package_filename> -update 1 -auth <username>:<password> Splunk 会 根 据 从 安 装 软 件 包 中 找 到 的 信 息 来 更 新 应 用 或 加 载 项 使 用 CLI 禁 用 应 用 或 加 载 项 要 通 过 CLI 来 禁 用 应 用 :./splunk disable app [app_name] -auth <username>:<password> 注 意 : 如 果 您 正 在 运 行 Splunk Free, 则 无 需 提 供 用 户 名 和 密 码 卸 载 应 用 或 加 载 项 要 从 Splunk 安 装 中 删 除 已 安 装 的 应 用 : 1.( 可 选 ) 删 除 该 应 用 或 加 载 项 的 索 引 数 据 通 常,Splunk 不 会 从 已 删 除 的 应 用 或 加 载 项 访 问 索 引 数 据 不 过, 您 可 以 使 用 Splunk CLI 的 clean 命 令 来 从 应 用 中 删 除 索 引 数 据, 然 后 再 删 除 该 应 用 参 阅 使 用 CLI 命 令 来 删 除 索 引 数 据 2. 删 除 应 用 及 其 目 录 应 位 于 $SPLUNK_HOME/etc/apps/<appname> 中 您 可 在 CLI 中 运 行 以 下 命 令 :./splunk remove app [appname] -auth <username>:<password> 3. 您 可 能 需 要 删 除 为 您 的 应 用 或 加 载 项 创 建 的 用 户 特 定 目 录, 做 法 是 删 除 这 里 查 找 到 的 文 件 ( 如 果 有 ):$SPLUNK_HOME/splunk/etc/users/*/<appname> 4. 重 新 启 动 Splunk 管 理 应 用 和 加 载 项 配 置 及 属 性 您 可 以 从 应 用 菜 单 中 管 理 安 装 在 Splunk Enterprise 实 例 中 的 应 用 的 配 置 与 属 性 单 击 用 户 栏 中 的 应 用 以 选 择 一 个 已 安 装 的 应 用 或 管 理 一 个 应 用 从 管 理 应 用 页 面 上, 您 可 以 : 编 辑 应 用 或 加 载 项 的 权 限 启 用 或 禁 用 应 用 或 加 载 项 执 行 诸 如 启 动 应 用 编 辑 属 性 和 查 看 应 用 对 象 等 操 作 77

78 编 辑 应 用 和 加 载 项 属 性 您 对 配 置 和 属 性 的 编 辑, 取 决 于 您 是 应 用 的 所 有 者 还 是 用 户 选 择 应 用 > 管 理 应 用, 然 后 为 要 编 辑 的 应 用 或 加 载 项 单 击 编 辑 属 性 您 可 以 对 该 Splunk Enterprise 实 例 中 安 装 的 应 用 进 行 以 下 编 辑 名 称 : 更 改 应 用 或 加 载 项 在 Splunk Web 中 的 显 示 名 称 更 新 检 查 : 默 认 情 况 下, 更 新 检 查 处 于 启 用 状 态 您 可 以 禁 用 更 新 检 查 和 覆 盖 默 认 设 置 有 关 详 细 信 息, 请 参 阅 下 面 的 检 查 应 用 或 加 载 项 更 新 可 见 : 带 有 视 图 的 应 用 应 是 可 见 的 通 常 没 有 视 图 的 加 载 项 应 禁 用 可 见 属 性 上 载 资 产 : 使 用 此 字 段 选 择 可 通 过 应 用 或 加 载 项 访 问 的 本 地 文 件 资 产 文 件, 例 如 HTML JavaScript 或 CSS 文 件 从 此 面 板 一 次 只 能 上 载 一 个 文 件 请 参 阅 应 用 和 加 载 项 : 有 关 应 用 和 加 载 项 的 配 置 和 属 性 的 详 细 信 息 的 简 介 检 查 更 新 您 可 以 配 置 Splunk Enterprise 是 否 在 Splunkbase 中 检 查 应 用 或 加 载 项 更 新 默 认 情 况 下, 启 用 检 查 更 新 您 可 以 禁 用 应 用 更 新 检 查 : 在 设 置 > 应 用 > 编 辑 属 性 中 编 辑 此 属 性 但 是, 如 果 从 Splunk Web 无 法 访 问 此 属 性, 您 还 可 以 手 动 编 辑 应 用 app.conf 文 件 来 禁 用 更 新 检 查 在 $SPLUNK_HOME/etc/apps/<app_name>/local/app.conf 中 创 建 或 编 辑 以 下 段 落 以 禁 用 更 新 检 查 : [package] check_for_updates = 0 注 意 : 编 辑 app.conf 的 本 地 版 本, 而 非 默 认 版 本 这 样 可 避 免 用 下 一 个 应 用 更 新 覆 盖 您 的 设 置 认 识 Hunk 认 识 Hunk Hunk 允 许 您 将 远 程 HDFS 数 据 存 储 区 配 置 为 虚 拟 索 引 器, 以 便 Splunk 可 在 本 机 上 报 告 驻 留 在 Hadoop 上 的 数 据 虚 拟 索 引 配 置 正 确 后, 您 可 以 报 告 和 可 视 化 驻 留 在 远 程 Hadoop 数 据 存 储 区 上 的 数 据 以 下 链 接 指 向 Hunk 用 户 手 册 中 的 主 题 Hunk 手 册 简 介 Hunk 概 念 认 识 Hunk Hunk 的 新 功 能 常 见 问 题 了 解 更 多 和 获 取 帮 助 78