Table of Contents 欢 迎 使 用 Splunk Enterprise 管 理 如 何 使 用 本 手 册 Splunk 管 理 : 更 多 内 容 Splunk 管 理 员 的 其 他 手 册 Windows 管 理 员 简 介 关 于 Splunk Free 在 *nix 和 W

Splunk Enterprise 6.4.0 管 理 员 手 册 生 成 时 间 :2016 年 3 月 29 日,12:36 Copyright (c) 2016 Splunk Inc. All Rights Reserved

Table of Contents 欢 迎 使 用 Splunk Enterprise 管 理 如 何 使 用 本 手 册 Splunk 管 理 : 更 多 内 容 Splunk 管 理 员 的 其 他 手 册 Windows 管 理 员 简 介 关 于 Splunk Free 在 *nix 和 Windows 上 运 行 Splunk 的 差 异 配 置 Splunk 的 方 法 在 Windows 上 充 分 利 用 Splunk Enterprise 在 Windows 上 部 署 Splunk 优 化 Splunk 以 获 得 高 性 能 在 系 统 映 像 上 加 入 Splunk 将 通 用 转 发 器 集 成 到 系 统 映 像 中 将 完 整 Splunk 集 成 到 系 统 映 像 中 使 用 Splunk Web 管 理 Splunk Enterprise 启 动 Splunk Web Splunk Web 管 理 任 务 Splunk Enterprise 默 认 仪 表 板 自 定 义 Splunk Web 横 幅 消 息 配 合 使 用 Splunk Web 与 代 理 服 务 器 使 用 配 置 文 件 管 理 Splunk Enterprise 关 于 配 置 文 件 配 置 文 件 目 录 配 置 文 件 结 构 配 置 文 件 优 先 顺 序 单 个 props.conf 文 件 中 的 属 性 优 先 顺 序 如 何 复 制 和 编 辑 配 置 文 件 更 改 配 置 文 件 之 后 何 时 重 新 启 动 Splunk Enterprise 配 置 文 件 列 表 配 置 参 数 和 数 据 管 道 备 份 配 置 信 息 使 用 命 令 行 界 面 (CLI) 管 理 Splunk Enterprise 关 于 CLI 获 取 CLI 相 关 帮 助 CLI 管 理 命 令 使 用 CLI 来 管 理 远 程 Splunk 服 务 器 自 定 义 CLI 登 录 横 幅 6 6 6 8 9 10 12 12 13 13 15 15 16 17 17 17 18 19 19 20 20 20 21 22 23 27 28 29 31 32 35 35 35 36 38 43 44

启 动 Splunk Enterprise 并 执 行 初 始 任 务 启 动 和 停 止 Splunk Enterprise 配 置 Splunk 在 开 机 时 启 动 安 装 您 的 许 可 证 更 改 默 认 值 将 Splunk 绑 定 到 某 个 IP 配 置 Splunk 以 使 用 IPv6 确 保 配 置 安 全 配 置 Splunk 许 可 证 Splunk Enterprise 许 可 授 权 如 何 运 作 Splunk 软 件 许 可 证 类 型 组 堆 叠 池 和 其 他 术 语 安 装 许 可 证 配 置 许 可 证 主 服 务 器 配 置 许 可 证 从 服 务 器 创 建 或 编 辑 许 可 证 池 向 许 可 证 池 添 加 索 引 器 从 CLI 管 理 许 可 证 管 理 Splunk 许 可 证 管 理 许 可 证 关 于 许 可 证 违 规 交 换 许 可 证 主 服 务 器 许 可 证 使 用 情 况 报 表 视 图 关 于 Splunk Enterprise 的 许 可 证 使 用 情 况 报 表 视 图 使 用 许 可 证 使 用 情 况 报 表 视 图 管 理 应 用 键 值 存 储 有 关 应 用 键 值 存 储 备 份 KV 存 储 认 识 Splunk 应 用 应 用 和 加 载 项 搜 索 和 报 表 应 用 配 置 在 应 用 中 打 开 的 Splunk Web 从 哪 里 获 得 更 多 应 用 和 加 载 项 应 用 部 署 概 述 应 用 架 构 和 对 象 所 有 权 管 理 应 用 和 加 载 项 对 象 管 理 应 用 和 加 载 项 配 置 及 属 性 认 识 Hunk 认 识 Hunk 管 理 用 户 45 45 47 48 49 53 54 55 55 55 56 58 59 59 60 60 62 62 64 64 64 66 66 66 68 69 69 70 71 71 72 72 73 74 75 76 77 78 78 79

关 于 用 户 和 角 色 配 置 用 户 语 言 和 区 域 设 置 配 置 用 户 会 话 超 时 配 置 文 件 配 置 文 件 参 考 alert_actions.conf app.conf audit.conf authentication.conf authorize.conf collections.conf commands.conf crawl.conf datamodels.conf datatypesbnf.conf default.meta.conf default-mode.conf deployment.conf deploymentclient.conf distsearch.conf eventdiscoverer.conf event_renderers.conf eventtypes.conf fields.conf indexes.conf inputs.conf instance.cfg.conf limits.conf literals.conf macros.conf multikv.conf outputs.conf passwords.conf pdf_server.conf procmon-filters.conf props.conf pubsub.conf restmap.conf savedsearches.conf searchbnf.conf segmenters.conf server.conf serverclass.conf serverclass.seed.xml.conf setup.xml.conf source-classifier.conf sourcetypes.conf 79 80 81 81 82 90 94 96 109 116 118 123 125 127 128 129 130 130 134 140 142 143 144 146 169 206 207 241 242 244 247 261 262 266 267 288 289 295 307 310 312 327 335 336 339 340

splunk-launch.conf tags.conf times.conf transactiontypes.conf transforms.conf ui-prefs.conf ui-tour.conf user-prefs.conf user-seed.conf viewstates.conf visualizations.conf web.conf wmi.conf workflow_actions.conf 342 344 345 347 350 361 363 365 367 368 369 370 386 390

欢 迎 使 用 Splunk Enterprise 管 理 如 何 使 用 本 手 册 本 手 册 提 供 不 同 Splunk 管 理 方 法 的 相 关 信 息 它 还 为 您 介 绍 Windows 和 *nix 的 一 些 初 始 管 理 任 务 注 意 : 除 非 另 有 说 明, 否 则 本 手 册 中 的 任 务 和 过 程 对 Windows 和 *nix 操 作 系 统 均 适 用 有 关 Splunk 管 理 过 程 更 多 内 容 的 概 述, 包 括 本 手 册 中 未 介 绍 的 任 务 ( 如 设 置 用 户 或 数 据 以 及 安 全 性 配 置 ), 请 参 阅 本 手 册 中 的 Splunk 管 理 : 更 多 内 容 有 关 可 供 Splunk 用 户 使 用 的 其 他 手 册 的 列 表 和 简 单 描 述, 请 参 阅 Splunk 管 理 员 的 其 他 手 册 使 用 管 理 员 手 册 可 以 执 行 的 操 作 任 务 : 查 看 此 处 : 启 动 Splunk 并 进 行 一 些 初 始 配 置 使 用 Splunk Web 配 置 和 管 理 Splunk 使 用 配 置 文 件 配 置 和 管 理 Splunk 使 用 Splunk 命 令 行 界 面 (CLI) 配 置 和 管 理 Splunk 在 Windows 上 优 化 Splunk 了 解 Splunk 许 可 证 熟 悉 Splunk 应 用 开 始 使 用 Splunk 所 需 执 行 的 全 部 操 作, 从 启 动 Splunk 和 安 装 许 可 证 到 将 Splunk 绑 定 至 IP 有 关 更 多 信 息, 请 参 阅 : 如 何 开 始 Splunk Web 的 概 述 以 及 如 何 使 用 它 来 管 理 Splunk 有 关 更 多 信 息, 请 参 阅 使 用 Splunk Web 在 何 处 能 够 找 到 配 置 文 件 如 何 创 建 和 编 辑 它 们, 以 及 关 于 文 件 优 先 顺 序 的 一 些 重 要 内 容 请 参 阅 关 于 配 置 文 件 开 始 操 作 如 何 使 用 命 令 行 界 面 配 置 Splunk 的 概 述 有 关 更 多 信 息, 请 参 阅 关 于 CLI 使 用 Splunk 时 您 应 了 解 的 一 些 Windows 特 定 的 事 项, 包 括 最 佳 部 署 的 一 些 提 示 以 及 使 用 系 统 映 像 的 相 关 信 息 有 关 更 多 信 息, 请 参 阅 Windows 管 理 员 简 介 安 装 许 可 证, 然 后 转 到 此 处 了 解 有 关 Splunk 许 可 证 的 所 有 必 要 信 息 : 管 理 Splunk 许 可 证 以 获 得 更 多 信 息 Splunk 应 用 的 简 介 和 概 述 以 及 如 何 将 其 集 成 到 Splunk 配 置 中 有 关 更 多 信 息, 请 参 阅 认 识 Splunk 应 用 管 理 用 户 设 置 管 理 用 户 这 一 章 向 您 介 绍 如 何 管 理 用 户 设 置 有 关 创 建 用 户 的 更 多 信 息, 请 参 阅 确 保 Splunk Enterprise 安 全 手 册 中 用 户 和 基 于 角 色 的 访 问 控 制 Splunk 管 理 : 更 多 内 容 管 理 员 手 册 提 供 初 始 管 理 任 务 以 及 可 用 于 管 理 Splunk Enterprise 的 不 同 方 法 的 信 息 有 关 如 何 使 用 管 理 员 手 册 的 更 多 特 定 概 述, 请 参 阅 如 何 使 用 本 手 册 下 面 是 初 始 配 置 之 后 您 可 能 要 执 行 的 管 理 任 务 以 及 在 何 处 了 解 更 多 信 息 任 务 : 查 看 此 处 : 执 行 备 份 备 份 配 置 信 息 备 份 索 引 数 据 设 置 退 休 和 归 档 策 略 定 义 告 警 告 警 手 册 管 理 搜 索 任 务 使 用 任 务 页 面 管 理 任 务 有 关 更 多 管 理 帮 助 的 信 息, 请 参 阅 下 方 介 绍 的 手 册 安 装 和 升 级 Splunk 安 装 手 册 介 绍 如 何 安 装 和 升 级 Splunk 要 获 得 特 定 任 务 相 关 信 息, 先 从 此 处 开 始 6

任 务 : 查 看 此 处 : 了 解 安 装 要 求 预 估 硬 件 容 量 需 求 安 装 Splunk 升 级 Splunk 计 划 您 的 安 装 预 估 硬 件 需 求 在 Windows 上 安 装 Splunk 在 Unix Linux 或 MacOS 上 安 装 Splunk 从 早 期 版 本 升 级 将 数 据 导 入 Splunk 数 据 导 入 为 您 提 供 有 关 Splunk 数 据 导 入 的 信 息 : 如 何 使 用 来 自 外 部 来 源 的 数 据, 以 及 如 何 增 强 数 据 价 值 任 务 : 查 看 此 处 : 了 解 如 何 使 用 外 部 数 据 配 置 文 件 和 目 录 输 入 配 置 络 输 入 配 置 Windows 输 入 配 置 其 他 输 入 增 强 您 的 数 据 值 查 看 您 的 数 据 在 建 立 索 引 后 的 显 示 效 果 过 程 改 善 如 何 将 数 据 导 入 Splunk 获 取 文 件 和 目 录 的 数 据 获 取 络 事 件 获 取 Windows 数 据 其 他 数 据 导 入 方 式 配 置 事 件 处 理 配 置 时 间 戳 配 置 索 引 字 段 提 取 配 置 主 机 值 配 置 来 源 类 型 管 理 事 件 分 段 使 用 查 找 和 工 作 流 动 作 预 览 您 的 数 据 改 善 数 据 输 入 过 程 管 理 索 引 和 索 引 器 管 理 索 引 器 和 群 集 告 诉 您 如 何 配 置 索 引 它 还 介 绍 了 如 何 管 理 维 护 索 引 的 组 件 : 索 引 器 和 索 引 器 群 集 任 务 : 查 看 此 处 : 了 解 索 引 管 理 索 引 管 理 索 引 存 储 备 份 索 引 归 档 索 引 了 解 群 集 和 索 引 复 制 部 署 群 集 配 置 群 集 管 理 群 集 了 解 群 集 架 构 索 引 概 述 管 理 索 引 管 理 索 引 存 储 备 份 索 引 数 据 设 置 退 休 和 归 档 策 略 关 于 群 集 和 索 引 复 制 部 署 群 集 配 置 群 集 管 理 群 集 群 集 如 何 工 作 扩 展 Splunk 分 布 式 部 署 手 册 介 绍 如 何 跨 多 个 组 件 ( 例 如, 转 发 器 索 引 器 和 搜 索 头 ) 来 分 散 Splunk 功 能 关 联 手 册 详 细 介 绍 分 布 式 组 件 : 转 发 数 据 手 册 介 绍 转 发 器 分 布 式 搜 索 手 册 介 绍 搜 索 头 更 新 Splunk 组 件 手 册 阐 述 如 何 使 用 部 署 服 务 器 和 转 发 器 管 理 来 管 理 您 的 部 署 任 务 : 查 看 此 处 : 7

了 解 分 布 式 Splunk 针 对 Splunk 部 署 执 行 容 量 规 划 了 解 如 何 转 发 数 据 跨 多 个 索 引 器 进 行 分 布 式 搜 索 更 新 部 署 分 布 式 Splunk 概 述 预 估 硬 件 需 求 转 发 数 据 跨 多 个 索 引 器 搜 索 在 您 的 环 境 中 部 署 配 置 更 新 确 保 Splunk 安 全 确 保 Splunk 安 全 告 诉 您 如 何 确 保 您 的 Splunk 部 署 的 安 全 任 务 : 查 看 此 处 : 验 证 用 户 和 编 辑 角 色 使 用 SSL 确 保 Splunk 数 据 安 全 审 计 Splunk 配 合 使 用 单 一 登 录 (SSO) 与 Splunk 配 合 使 用 Splunk 与 LDAP 用 户 和 基 于 角 色 的 访 问 控 制 安 全 验 证 和 加 密 审 计 Splunk 活 动 配 置 单 点 登 录 设 置 使 用 LDAP 进 行 的 用 户 验 证 Splunk 故 障 排 除 故 障 排 除 手 册 提 供 有 关 Splunk 故 障 排 除 的 总 体 指 导 此 外, 在 其 他 手 册 的 相 关 主 题 中 还 提 供 了 针 对 特 定 问 题 的 故 障 排 除 信 息 任 务 : 查 看 此 处 : 了 解 Splunk 故 障 排 除 工 具 了 解 Splunk 日 志 文 件 使 用 Splunk 支 持 解 决 常 见 问 题 初 始 步 骤 Splunk 日 志 文 件 联 系 Splunk 支 持 一 些 常 用 方 案 参 考 和 其 他 信 息 Splunk 文 档 会 包 含 一 些 有 用 的 参 考, 以 及 其 他 一 些 可 能 对 Splunk 管 理 员 有 帮 助 的 信 息 来 源 参 考 : 查 看 此 处 : 配 置 文 件 参 考 管 理 员 手 册 中 的 配 置 文 件 参 考 REST API 参 考 REST API 参 考 手 册 CLI 帮 助 版 本 信 息 有 关 如 何 管 理 Splunk 知 识 的 信 息 在 Splunk 的 安 装 实 例 中 提 供 有 关 如 何 调 用 它 的 详 细 信 息, 请 阅 读 管 理 员 手 册 中 的 获 取 CLI 帮 助 发 行 说 明 知 识 管 理 器 手 册 Splunk 管 理 员 的 其 他 手 册 该 管 理 员 手 册 是 专 为 Splunk Enterprise 管 理 员 提 供 重 要 信 息 和 程 序 的 本 书 籍 中 的 其 中 一 本 但 它 仅 介 绍 您 使 用 Splunk Enterprise 可 以 执 行 的 一 些 基 本 操 作 如 果 您 需 要 配 置 运 行 和 维 护 Splunk Enterprise, 将 其 作 为 服 务 提 供 给 您 自 己 或 其 他 用 户 使 用, 请 先 阅 读 这 本 手 册 然 后, 您 可 以 阅 读 其 他 手 册 以 获 得 有 关 Splunk Enterprise 管 理 特 定 领 域 的 详 细 信 息 : 手 册 涵 盖 内 容 重 要 主 题 领 域 数 据 导 入 指 定 数 据 导 入 和 改 善 Splunk 数 据 处 理 方 式 如 何 将 数 据 导 入 Splunk 配 置 事 件 处 理 预 览 您 的 数 据 8

管 理 索 引 器 和 群 集 管 理 Splunk 索 引 器 和 索 引 器 群 集 关 于 索 引 和 索 引 器 管 理 索 引 备 份 和 归 档 您 的 索 引 关 于 群 集 和 索 引 复 制 部 署 群 集 分 布 式 部 署 扩 展 部 署 以 适 应 您 所 在 企 业 的 需 求 分 布 式 Splunk 概 述 转 发 数 据 将 数 据 转 发 到 Splunk 中 转 发 数 据 分 布 式 搜 索 使 用 搜 索 头 跨 多 个 索 引 器 进 行 分 布 式 搜 索 跨 多 个 索 引 器 搜 索 更 新 Splunk 组 件 确 保 Splunk 安 全 分 布 式 管 理 控 制 台 使 用 部 署 服 务 器 和 转 发 器 管 理 来 更 新 Splunk 组 件, 如 转 发 器 和 索 引 器 数 据 安 全 和 用 户 验 证 监 视 Splunk Enterprise 部 署 并 排 除 故 障 在 您 的 环 境 中 部 署 更 新 用 户 验 证 和 角 色 使 用 SSL 加 密 和 验 证 审 计 关 于 分 布 式 管 理 控 制 台 故 障 排 除 解 决 问 题 初 始 步 骤 Splunk 日 志 文 件 一 些 常 用 方 案 安 装 安 装 和 升 级 Splunk 系 统 要 求 分 步 安 装 程 序 从 早 期 版 本 升 级 主 题 学 习 管 理 Splunk 会 提 供 有 关 从 哪 里 阅 读 特 定 管 理 任 务 的 更 详 细 指 导 信 息 Splunk 管 理 员 感 兴 趣 的 其 他 书 籍 除 了 介 绍 主 要 管 理 任 务 的 手 册 以 外, 您 有 时 可 能 需 要 阅 读 其 他 手 册, 具 体 取 决 于 Splunk Enterprise 安 装 大 小 和 您 的 职 责 范 围 这 些 是 Splunk Enterprise 核 心 文 档 集 的 其 他 手 册 : 搜 索 教 程 该 手 册 向 您 介 绍 如 何 使 用 Splunk 进 行 搜 索 知 识 管 理 器 该 手 册 会 介 绍 如 何 管 理 Splunk 知 识 对 象, 例 如 事 件 类 型 标 记 查 找 字 段 提 取 工 作 流 动 作 保 存 的 搜 索 和 视 图 告 警 该 手 册 介 绍 Splunk 的 告 警 和 监 视 功 能 数 据 可 视 化 该 手 册 介 绍 Splunk 提 供 的 一 系 列 可 视 化 搜 索 手 册 该 手 册 告 诉 您 如 何 搜 索 和 使 用 Splunk 搜 索 语 言 搜 索 参 考 该 参 考 包 含 Splunk 搜 索 命 令 的 详 细 目 录 开 发 用 于 Splunk Web 的 视 图 和 应 用 该 手 册 介 绍 如 何 使 用 高 级 XML 来 开 发 视 图 和 应 用 它 还 包 含 其 他 开 发 人 员 主 题, 例 如 自 定 义 脚 本 和 扩 展 Splunk REST API 参 考 该 手 册 提 供 了 所 有 可 公 开 访 问 的 REST API 端 点 信 息 发 行 说 明 在 这 里 可 以 找 到 有 关 新 功 能 已 知 问 题 和 已 修 复 问 题 的 信 息 更 详 细 的 Splunk 文 档 要 获 得 全 部 Splunk Enterprise 文 档 链 接, 包 括 以 上 列 出 的 手 册, 请 访 问 :Splunk Enterprise 文 档 要 访 问 所 有 Splunk 文 档, 包 括 应 用 的 手 册, 请 前 往 此 页 面 : 欢 迎 使 用 Splunk 文 档 制 作 PDF 如 果 您 需 要 本 手 册 的 PDF 版 本, 请 单 击 本 页 左 侧 目 录 下 方 的 红 色 链 接 将 管 理 员 手 册 下 载 为 PDF 即 会 为 您 动 态 生 成 手 册 的 PDF 版 本 您 可 以 将 其 保 存 或 打 印 出 来 以 便 之 后 阅 读 Windows 管 理 员 简 介 欢 迎 使 用! Splunk 是 一 款 功 能 强 大 高 效 的 工 具, 它 可 以 帮 助 Windows 管 理 员 解 决 在 Windows 络 上 出 现 的 问 题 它 提 供 了 即 装 即 用 的 功 能 集, 使 其 成 为 Windows 管 理 员 工 具 箱 内 的 秘 密 武 器 它 可 以 通 过 添 加 应 用 来 增 加 自 身 功 能, 因 此 使 其 具 有 更 高 的 可 扩 展 性 此 外, 它 还 拥 有 一 个 不 断 扩 大 兴 旺 的 用 户 社 区 Windows 用 户 如 何 使 用 本 手 册 9

本 手 册 包 括 多 个 主 题, 以 帮 助 您 试 验 学 习 部 署 和 充 分 利 用 Splunk 除 非 另 外 指 定, 否 则 本 手 册 中 的 信 息 对 Windows 和 *nix 用 户 均 有 所 帮 助 如 果 您 不 熟 悉 Windows 或 *nix 操 作 命 令, 强 烈 建 议 您 查 阅 在 *nix 和 Windows 上 运 行 Splunk 的 差 异 在 在 Windows 上 充 分 利 用 Splunk 一 章 中, 我 们 还 提 供 了 一 些 额 外 信 息 本 章 适 用 于 Windows 用 户, 可 帮 助 您 充 分 利 用 Splunk, 其 中 包 括 下 列 信 息 在 Windows 上 部 署 Splunk 提 供 专 用 于 Windows 用 户 的 一 些 注 意 事 项 和 准 备 工 作 本 主 题 在 计 划 部 署 时 使 用 优 化 Splunk 以 获 得 高 性 能 介 绍 在 部 署 期 间 或 部 署 完 成 之 后 确 保 Splunk 能 够 在 Windows 部 署 上 正 常 运 行 的 方 法 在 系 统 映 像 上 加 入 Splunk 帮 助 您 使 Splunk 成 为 每 个 Windows 系 统 映 像 或 安 装 过 程 的 一 部 分 在 此 处, 您 可 以 找 到 用 于 将 Splunk 和 Splunk 转 发 器 安 装 到 系 统 映 像 上 的 任 务 相 关 信 息 以 下 是 其 他 Splunk 手 册 中 所 涉 及 的 一 些 其 他 Windows 主 题 : 有 关 所 有 已 安 装 的 Splunk for Windows 服 务 的 概 述 ( 来 自 安 装 手 册 ) Splunk 可 以 监 视 什 么 ( 来 自 数 据 导 入 手 册 ) 有 关 确 定 如 何 监 视 远 程 Windows 数 据 的 注 意 事 项 ( 来 自 数 据 导 入 手 册 ) 阅 读 该 主 题 以 获 得 有 关 如 何 从 多 个 计 算 机 远 程 获 取 数 据 的 重 要 信 息 合 并 来 自 多 个 计 算 机 的 数 据 ( 来 自 转 发 数 据 手 册 ) 其 他 有 用 的 信 息 : 我 的 数 据 位 于 何 处?( 来 自 数 据 导 入 手 册 ) 使 用 Splunk 的 命 令 行 界 面 (CLI)( 来 自 数 据 导 入 手 册 ) 来 源 来 源 类 型 和 字 段 ( 来 自 数 据 导 入 手 册 ) 字 段 和 字 段 提 取 ( 来 自 知 识 管 理 器 手 册 ) 实 时 搜 索 ( 来 自 用 户 手 册 ) 保 存 的 搜 索 ( 来 自 用 户 手 册 ) 仪 表 板 创 建 ( 来 自 用 户 手 册 ) 当 您 需 要 帮 助 时 如 果 您 打 算 深 入 了 解 Splunk 知 识, 我 们 提 供 有 大 量 的 教 育 课 程 如 果 您 在 使 用 过 程 中 遭 遇 困 难,Splunk 拥 有 庞 大 免 费 的 支 持 基 础 设 施 向 您 提 供 帮 助 : Splunk Answers Splunk 维 基 社 区 Splunk Internet Relay Chat (IRC) 通 道 (EFNet splunk) ( 需 要 IRC 客 户 端 ) 如 果 您 的 问 题 仍 然 未 能 解 决, 您 可 以 联 系 Splunk 的 支 持 团 队 在 联 系 支 持 页 面 上 会 提 供 具 体 的 做 法 注 意 : 社 区 级 别 以 上 的 支 持 级 别 需 要 具 备 Enterprise 许 可 证 要 获 得 此 许 可 证, 您 需 要 联 系 我 们 的 销 售 团 队 关 于 Splunk Free Splunk Free 是 完 全 免 费 的 Splunk 版 本 Free 许 可 证 使 您 可 以 每 天 最 多 对 500 MB 数 据 建 立 索 引 而 不 会 过 期 500 MB 的 限 制 指 每 天 您 可 以 添 加 ( 我 们 称 之 为 索 引 ) 的 新 数 据, 但 您 可 以 每 天 添 加 数 据, 想 要 存 储 多 少 就 存 储 多 少 例 如, 您 可 以 每 天 添 加 500 MB 数 据, 并 逐 渐 地 在 Splunk Enterprise 中 存 储 10 TB 数 据 如 果 您 每 天 需 要 多 于 500 MB 的 数 据, 则 需 要 购 买 Enterprise 许 可 证 有 关 许 可 授 权 的 更 多 信 息, 请 参 阅 Splunk 许 可 授 权 如 何 运 作 Splunk Free 通 过 追 踪 许 可 证 违 规 来 规 范 您 的 许 可 证 使 用 情 况 如 果 您 在 30 天 周 期 内 有 3 次 超 过 500 MB/ 天,Splunk Free 会 继 续 对 您 的 数 据 建 立 索 引, 但 搜 索 功 能 会 禁 用, 直 到 您 在 30 天 周 期 内 得 到 的 警 告 次 数 下 降 到 3 次 或 更 少 Splunk Free 是 否 适 合 您? Splunk Free 专 门 供 个 人 用 户 对 IT 数 据 执 行 特 殊 搜 索 和 可 视 化 您 可 以 持 续 使 用 Splunk Free 来 对 少 量 数 据 (< 500 MB/ 天 ) 建 立 索 引 此 外, 您 可 以 使 用 它 来 短 期 批 量 加 载 和 分 析 大 型 数 据 集 - Splunk Free 使 您 可 以 在 30 天 周 期 内 最 多 批 量 加 载 3 次 大 型 数 据 集 这 对 于 大 型 数 据 集 的 取 证 分 析 非 常 有 用 10

Splunk Free 中 包 含 什 么? Splunk Free 是 一 款 单 用 户 产 品 它 支 持 Splunk Enterprise 的 所 有 功 能, 例 外 情 况 如 下 : 分 布 式 搜 索 配 置 ( 包 括 搜 索 头 群 集 化 ) 不 可 用 不 能 以 TCP/HTTP 格 式 转 发 这 意 味 着 您 可 以 向 其 他 Splunk 实 例 转 发 数 据, 但 不 能 向 非 Splunk 实 例 转 发 部 署 管 理 功 能 不 可 用 告 警 / 监 视 不 可 用 索 引 器 群 集 化 不 可 用 报 表 加 速 摘 要 不 可 用 尽 管 Splunk Free 实 例 可 以 用 作 转 发 器 ( 转 发 到 Splunk Enterprise 索 引 器 ), 但 它 不 能 作 为 部 署 服 务 器 的 客 户 端 当 使 用 Splunk Free 时 无 验 证 或 用 户 以 及 角 色 管 理 也 就 是 说 : 不 存 在 登 录 机 制 不 会 提 示 您 输 入 用 户 名 / 密 码, 通 过 命 令 行 或 浏 览 器 可 以 访 问 和 控 制 Splunk Free 的 所 有 方 面 所 有 访 问 均 被 视 为 与 管 理 员 用 户 同 等 只 有 一 个 角 色 ( 管 理 员 ), 并 且 无 法 配 置 您 无 法 添 加 更 多 角 色 或 创 建 用 户 帐 户 在 运 行 搜 索 时 将 针 对 所 有 公 共 索 引 'index=*' 不 支 持 如 用 户 配 额 每 个 搜 索 时 间 范 围 最 大 值 和 搜 索 过 滤 条 件 等 搜 索 限 制 功 能 系 统 被 禁 用 为 所 有 访 问 Splunk Free 的 用 户 启 用 全 部 可 用 操 作 从 Enterprise Trial 许 可 证 切 换 到 Free 当 您 首 次 下 载 并 安 装 Splunk 时, 您 将 自 动 采 用 Enterprise Trial 许 可 证 您 可 以 继 续 使 用 Enterprise Trial 许 可 证, 直 到 它 过 期, 也 可 以 立 即 切 换 到 Free 许 可 证, 这 都 取 决 于 您 的 需 求 切 换 到 Free 应 了 解 的 注 意 事 项 Splunk Enterprise Trial 为 您 提 供 了 许 多 在 Splunk Free 中 不 可 用 的 功 能 当 您 切 换 到 Free 时, 应 注 意 以 下 方 面 : 您 创 建 的 用 户 帐 户 或 角 色 将 不 再 起 作 用 任 何 连 接 到 实 例 的 用 户 将 自 动 以 'admin' 身 份 登 录 您 将 可 以 看 到 更 新 检 查, 但 不 再 显 示 登 录 屏 幕 任 何 由 'admin' 以 外 用 户 创 建 且 未 全 局 共 享 的 知 识 对 象 ( 如 事 件 类 型 交 易 或 来 源 类 型 定 义 ) 将 不 再 可 用 如 果 您 需 要 在 切 换 到 Splunk Free 之 后 继 续 使 用 这 些 知 识 对 象, 可 采 取 以 下 做 法 之 一 : 使 用 本 主 题 的 信 息, 在 切 换 之 前 使 用 Splunk Web 将 它 们 提 升 为 全 局 可 用 按 照 此 处 所 述 的 内 容 手 动 编 辑 它 们 所 在 的 配 置 文 件 以 提 升 它 们 您 已 定 义 的 告 警 将 不 再 触 发 / 有 效, 虽 然 您 仍 可 计 划 搜 索 运 行 用 于 仪 表 板 和 摘 要 索 引 您 将 不 再 从 Splunk 接 收 告 警 outputs.conf 中 以 TCP 或 HTTP 格 式 转 发 到 第 三 方 应 用 程 序 的 配 置 将 停 止 工 作 如 果 在 使 用 Enterprise Trial 许 可 证 时 尝 试 在 Splunk Web 中 进 行 上 述 配 置, 则 在 Free Splunk 中 将 会 警 告 您 上 述 限 制 如 何 切 换 到 Splunk Free? 如 果 您 目 前 有 Splunk Enterprise( 试 用 版 或 非 试 用 版 ), 您 可 以 等 待 Enterprise 许 可 证 到 期, 也 可 以 随 时 切 换 到 Free 许 可 证 要 切 换 到 Free 许 可 证 : 1. 以 具 有 管 理 员 权 限 的 用 户 身 份 登 录 到 Splunk Web, 然 后 导 航 至 设 置 > 许 可 授 权 2. 单 击 页 面 顶 部 的 更 改 许 可 证 组 3. 选 择 Free 许 可 证, 然 后 单 击 保 存 4. 将 提 示 您 重 新 启 动 11

在 *nix 和 Windows 上 运 行 Splunk 的 差 异 本 主 题 将 阐 明 当 Splunk 运 行 的 状 况 下, 您 在 *nix 和 Windows 操 作 系 统 上 会 遇 到 的 功 能 差 异 这 里 不 会 深 入 探 讨 到 技 术 性 的 比 较, 也 不 会 鼓 吹 或 偏 爱 任 何 操 作 系 统, 而 是 旨 在 说 明 在 不 同 操 作 系 统 特 定 的 Splunk 手 册 页 面 上 为 何 内 容 有 所 不 同 路 径 在 *nix 操 作 系 统 处 理 文 件 和 目 录 的 方 式 上 的 主 要 差 异, 就 是 在 路 径 名 中 用 于 分 隔 文 件 或 目 录 的 斜 线 类 型 有 所 不 同 *nix 系 统 使 用 正 斜 线 ("/") 另 一 方 面,Windows 使 用 反 斜 线 ("\") *nix 路 径 示 例 : /opt/splunk/bin/splunkd Windows 路 径 示 例 : C:\Program Files\Splunk\bin\splunkd.exe 环 境 变 量 另 一 项 差 异 是 这 两 种 操 作 系 统 在 环 境 变 量 表 示 上 有 所 不 同 两 种 操 作 系 统 均 采 用 各 自 的 方 法 暂 时 存 储 在 一 个 或 多 个 环 境 变 量 中 的 数 据 在 *nix 系 统 上, 这 是 通 过 在 环 境 变 量 名 称 之 前 加 上 美 元 符 号 ("$") 来 表 示, 例 如 : SPLUNK_HOME=/opt/splunk; export $SPLUNK_HOME 在 Windows 上 则 稍 微 有 点 不 同 您 需 要 使 用 百 分 号 ("%") 指 定 环 境 变 量 根 据 您 使 用 的 环 境 变 量 类 型, 您 可 能 需 要 将 一 个 或 两 个 百 分 号 放 在 环 境 变 量 名 称 之 前 或 名 称 的 两 侧 > set SPLUNK_HOME="C:\Program Files\Splunk" > echo %SPLUNK_HOME% C:\Program Files\Splunk > 要 在 Windows 环 境 中 设 置 %SPLUNK_HOME% 变 量, 您 可 以 采 用 以 下 两 种 方 法 之 一 : 编 辑 位 于 %SPLUNK_HOME%\etc 中 的 splunk-launch.conf 通 过 访 问 环 境 变 量 窗 口 来 设 置 变 量 打 开 资 源 管 理 器 窗 口, 在 左 窗 格 中 右 键 单 击 我 的 电 脑, 然 后 从 显 示 的 窗 口 中 选 择 属 性 在 出 现 系 统 属 性 窗 口 之 后, 选 择 高 级 选 项 卡, 然 后 单 击 标 签 窗 口 底 部 的 环 境 变 量 按 钮 配 置 文 件 Splunk Enterprise 与 使 用 ASCII/UTF-8 字 符 集 编 码 的 配 置 文 件 结 合 使 用 在 Windows 中 编 辑 配 置 文 件 时, 将 文 本 编 辑 器 配 置 为 利 用 此 编 码 写 文 件 在 一 些 Windows 版 本 中,UTF-8 不 是 默 认 字 符 集 编 码 请 参 阅 如 何 编 辑 配 置 文 件 配 置 Splunk 的 方 法 Splunk 在 一 组 配 置 文 件 中 维 护 配 置 信 息 您 可 以 使 用 以 下 任 一 ( 或 全 部 ) 方 法 配 置 Splunk: 使 用 Splunk Web 使 用 Splunk 的 命 令 行 界 面 (CLI) 命 令 直 接 编 辑 Splunk 的 配 置 文 件 使 用 通 过 Splunk REST API 来 更 新 配 置 的 应 用 设 置 屏 幕 上 述 所 有 方 法 都 更 改 基 本 配 置 文 件 的 内 容 在 不 同 情 况 下, 您 可 能 发 现 不 同 的 便 利 方 法 使 用 Splunk Web 您 可 以 在 Splunk Web 中 执 行 大 多 数 常 用 配 置 任 务 默 认 情 况 下,Splunk Web 在 安 装 该 Web 的 主 机 的 端 口 8000 上 运 行 : 如 果 在 本 地 计 算 机 上 运 行 Splunk, 则 访 问 Splunk Web 的 URL 是 http://localhost:8000 如 果 在 远 程 计 算 机 上 运 行 Splunk, 则 访 问 Splunk Web 的 URL 是 http://<hostname>:8000, 其 中 <hostname> 是 运 行 Splunk 的 计 算 机 的 名 称 管 理 菜 单 可 在 Splunk Web 菜 单 栏 中 的 设 置 下 找 到 Splunk 文 档 集 中 介 绍 的 大 多 数 任 务 均 针 对 Splunk Web 有 关 12

Splunk Web 的 更 多 信 息, 请 参 阅 认 识 Splunk Web 编 辑 配 置 文 件 大 多 数 Splunk 配 置 信 息 存 储 在.conf 文 件 中 这 些 文 件 位 于 Splunk 安 装 目 录 ( 在 文 档 中 通 常 称 为 $SPLUNK_HOME) 下 的 /etc/system 下 在 大 多 数 情 况 下, 可 将 这 些 文 件 复 制 到 本 地 目 录 并 使 用 首 选 的 文 件 编 辑 器 对 其 进 行 更 改 在 开 始 编 辑 配 置 文 件 之 前, 请 阅 读 关 于 配 置 文 件 使 用 Splunk CLI 许 多 配 置 选 项 可 通 过 CLI 提 供 这 些 选 项 记 录 在 本 手 册 的 CLI 章 节 中 也 可 以 在 Splunk 运 行 时 使 用 help 命 令 来 获 取 CLI 帮 助 参 考 :./splunk help 有 关 CLI 的 更 多 信 息, 请 参 阅 本 手 册 中 的 关 于 CLI 如 果 您 不 熟 悉 CLI 命 令 或 在 Windows 环 境 下 工 作, 也 应 查 阅 在 *nix 和 Windows 上 运 行 Splunk 的 差 异 应 用 的 设 置 屏 幕 开 发 人 员 可 以 创 建 应 用 的 设 置 屏 幕, 允 许 用 户 设 置 此 应 用 的 配 置, 而 不 必 直 接 编 辑 配 置 文 件 利 用 设 置 屏 幕, 可 以 更 为 轻 松 地 将 应 用 分 布 到 不 同 的 环 境, 或 者 根 据 特 定 使 用 情 况 自 定 义 应 用 设 置 屏 幕 使 用 Splunk 的 REST API 来 管 理 应 用 的 配 置 文 件 有 关 设 置 屏 幕 的 更 多 信 息, 请 参 阅 开 发 用 于 Splunk Web 的 视 图 和 应 用 手 册 中 的 配 置 应 用 的 设 置 屏 幕 管 理 分 布 式 环 境 Splunk 部 署 服 务 器 为 分 布 式 环 境 提 供 集 中 管 理 和 配 置 您 可 以 使 用 它 将 配 置 文 件 集 或 其 他 内 容 部 署 到 覆 盖 整 个 企 业 的 Splunk 实 例 组 有 关 管 理 部 署 的 信 息, 请 参 阅 更 新 Splunk 组 件 手 册 在 Windows 上 充 分 利 用 Splunk Enterprise 在 Windows 上 部 署 Splunk 您 可 以 通 过 多 种 方 法 来 将 Splunk 集 成 到 您 的 Windows 环 境 中 本 主 题 介 绍 其 中 一 些 方 案, 并 提 供 了 有 关 如 何 确 保 Splunk for Windows 部 署 适 应 您 的 企 业 环 境 的 指 南 本 主 题 更 多 侧 重 于 在 Windows 环 境 中 部 署 Splunk, 即 使 您 将 其 集 成 到 Windows 企 业 环 境 中,Splunk 本 身 也 具 有 需 要 您 注 意 的 分 布 式 部 署 操 作 分 布 式 部 署 手 册 包 含 有 关 在 多 台 计 算 机 上 分 散 运 行 Splunk 服 务 的 大 量 信 息 当 大 规 模 地 在 Windows 上 部 署 Splunk 时, 您 可 以 完 全 依 赖 您 自 己 的 部 署 实 用 工 具 ( 如 System Center Configuration Manager 或 Tivoli/BigFix) 来 在 企 业 内 的 计 算 机 上 部 署 Splunk 及 其 配 置 或 者, 您 也 可 以 将 Splunk 集 成 到 系 统 映 像 中, 然 后 通 过 Splunk 的 部 署 服 务 器 来 部 署 Splunk 配 置 和 应 用 概 念 当 您 将 Splunk 部 署 到 您 的 Windows 络 中 时, 它 会 捕 获 来 自 计 算 机 的 数 据 并 集 中 存 储 一 旦 数 据 就 位 之 后, 您 就 可 以 针 对 已 建 立 索 引 的 数 据 来 执 行 搜 索 和 创 建 报 告 与 仪 表 板 等 对 于 系 统 管 理 员 而 言, 更 重 要 的 是, 当 数 据 到 达 时 Splunk 可 以 发 送 告 警 以 通 知 您 发 生 了 什 么 在 典 型 的 部 署 中, 您 可 以 将 某 些 硬 件 专 门 用 于 Splunk 建 立 索 引, 然 后 使 用 通 用 转 发 器 与 Windows Management Instrumentation (WMI) 的 组 合 集 合 来 自 企 业 内 其 他 计 算 机 的 数 据 注 意 事 项 在 Windows 企 业 环 境 中 部 署 Splunk 需 要 大 量 的 规 划 步 骤 首 先, 您 必 须 对 您 的 企 业 环 境 进 行 清 点, 从 物 理 络 开 始, 然 后 确 定 该 络 上 不 同 计 算 机 的 单 独 配 置 情 况 其 中 包 括 但 不 限 于 : 统 计 您 的 环 境 中 的 计 算 机 数 量, 并 确 定 其 中 需 要 安 装 Splunk 的 子 集 这 将 定 义 您 的 Splunk 拓 扑 结 构 的 初 始 框 架 13

计 算 您 的 络 带 宽, 包 括 主 要 站 点 和 任 何 远 程 或 外 部 站 点 的 带 宽 这 将 确 定 您 需 要 在 哪 里 安 装 您 的 主 Splunk 实 例, 以 及 在 哪 里 和 如 何 使 用 Splunk 转 发 器 评 估 您 的 络 当 前 的 运 行 状 况, 尤 其 是 络 分 隔 区 域 确 保 您 的 边 缘 路 由 器 和 交 换 机 工 作 正 常, 以 便 设 定 部 署 期 间 和 之 后 的 络 性 能 基 准 然 后, 您 必 须 在 开 始 部 署 之 前 回 答 众 多 问 题, 其 中 包 括 : 在 您 的 计 算 机 上 哪 些 数 据 需 要 建 立 索 引? 您 需 要 针 对 其 中 哪 部 分 数 据 执 行 搜 索 报 告 或 告 警? 这 可 能 是 最 需 要 认 真 考 虑 的 重 要 因 素 通 过 回 答 这 些 问 题, 您 将 确 定 如 何 解 决 其 他 需 要 注 意 的 每 个 问 题 它 可 以 确 定 在 哪 里 安 装 Splunk, 以 及 您 在 这 些 安 装 中 使 用 哪 种 类 型 的 Splunk 它 还 可 以 确 定 Splunk 可 能 使 用 多 少 计 算 能 力 和 络 带 宽 络 布 局 如 何? 所 有 外 部 站 点 的 链 路 配 置 如 何? 这 些 链 路 使 用 哪 种 安 全 性? 充 分 了 解 您 的 络 拓 扑 结 构, 有 助 于 确 定 您 需 要 在 哪 些 计 算 机 上 安 装 Splunk, 以 及 从 络 的 立 场 决 定 应 该 要 在 这 些 计 算 机 上 安 装 哪 种 类 型 的 Splunk( 索 引 器 或 转 发 器 ) 对 于 LAN 或 WAN 链 路 较 为 薄 弱 的 站 点, 有 必 要 考 虑 在 不 同 站 点 之 间 传 输 多 大 的 Splunk 数 据 量 例 如, 如 果 您 具 有 轴 幅 式 络, 即 一 个 中 心 站 点 连 接 到 多 个 分 支 站 点, 则 最 好 在 分 支 站 点 的 计 算 机 上 部 署 转 发 器, 以 向 每 个 分 支 站 点 内 的 一 个 中 间 转 发 器 发 送 数 据 然 后, 中 间 转 发 器 会 将 数 据 发 回 到 中 央 站 点 这 与 让 分 支 站 点 内 所 有 计 算 机 都 向 中 央 站 点 的 索 引 器 发 送 数 据 的 做 法 相 比 成 本 更 低 如 果 外 部 站 点 具 有 文 件 打 印 或 数 据 库 服 务, 则 您 还 需 要 考 虑 这 些 流 量 您 Active Directory (AD) 是 如 何 配 置 的? 在 您 的 域 控 制 器 (DC) 上 操 作 主 机 角 色 是 如 何 定 义 的? 所 有 域 控 制 器 是 否 位 于 中 央 站 点, 或 者 是 否 有 控 制 器 位 于 卫 星 站 点? 如 果 您 的 AD 为 分 布 式 结 构, 您 的 桥 头 服 务 器 是 否 配 置 正 确? 您 的 站 点 间 拓 扑 生 成 器 (ISTG) 角 色 的 服 务 器 是 否 工 作 正 常? 如 果 您 在 运 行 Windows Server 2008 R2, 那 么 在 分 支 站 点 内 是 否 设 有 只 读 域 控 制 器 (RODC)? 如 果 有, 则 需 要 考 虑 AD 复 制 流 量 以 及 Splunk 和 其 他 络 流 量 的 影 响 您 的 络 中 的 服 务 器 还 扮 演 其 他 哪 些 角 色?Splunk 索 引 器 需 要 资 源 来 保 持 高 性 能 运 行, 如 果 与 其 他 耗 费 资 源 型 应 用 程 序 或 服 务 ( 如 Microsoft Exchange SQL Server 乃 至 Active Directory 本 身 ) 共 享 服 务 器, 则 在 这 些 计 算 机 上 Splunk 可 能 会 出 现 问 题 有 关 与 Splunk 索 引 器 共 享 服 务 器 资 源 的 其 他 信 息, 请 参 阅 容 量 规 划 手 册 中 的 针 对 Splunk Enterprise 容 量 规 划 的 介 绍 您 如 何 向 您 的 用 户 告 知 部 署 情 况?Splunk 安 装 意 味 着 环 境 的 改 变 根 据 Splunk 的 部 署 方 式, 某 些 计 算 机 将 会 安 装 新 的 软 件 用 户 可 能 会 误 将 这 些 新 安 装 的 软 件 与 他 们 在 其 计 算 机 上 已 知 的 问 题 或 速 度 变 慢 相 关 联 您 应 保 持 在 任 何 变 动 时 通 知 您 的 用 户, 以 减 少 部 署 相 关 的 支 持 请 求 准 备 将 Splunk 部 署 在 Windows 上 如 何 将 Splunk 部 署 到 您 的 当 前 环 境 中, 取 决 于 您 对 Splunk 的 需 求 ( 并 与 可 用 计 算 资 源 保 持 平 衡 ) 您 的 物 理 和 络 布 局, 以 及 您 的 企 业 基 础 设 施 由 于 并 不 存 在 一 种 特 定 的 Splunk 部 署 方 法, 因 此 也 没 有 可 供 遵 循 的 分 步 说 明 不 过, 您 可 以 遵 循 一 些 通 用 指 南 要 成 功 地 部 署 Splunk, 您 需 要 : 准 备 您 的 络 在 将 Splunk 集 成 到 您 的 环 境 中 之 前 : 确 保 您 的 络 工 作 正 常, 所 有 开 关 路 由 器 和 线 缆 配 置 正 确 交 换 任 何 损 坏 或 故 障 设 备 确 保 所 有 虚 拟 LAN (VLAN) 设 置 正 确 测 试 络 吞 吐 量, 尤 其 是 络 链 路 薄 弱 的 站 点 之 间 的 络 吞 吐 量 准 备 您 的 Active Directory 尽 管 AD 并 不 是 运 行 Splunk 所 必 需 的, 但 最 好 在 部 署 之 前 确 保 其 工 作 正 常 其 中 包 括 但 不 限 于 : 确 定 您 的 所 有 域 控 制 器, 以 及 它 们 可 能 执 行 的 操 作 主 机 角 色 如 果 在 分 支 站 点 内 设 有 RODC, 则 应 确 保 它 们 与 操 作 主 机 DC 之 间 具 有 目 前 最 快 的 连 接 确 保 AD 复 制 工 作 正 常, 并 且 所 有 站 点 链 路 具 有 一 个 包 含 全 局 目 录 副 本 的 DC 如 果 您 的 林 划 分 为 多 个 站 点, 则 应 确 保 您 的 ISTG 角 色 服 务 器 工 作 正 常, 或 者 在 您 的 站 点 内 至 少 分 配 两 个 桥 头 服 务 器 ( 主 服 务 器 和 备 份 服 务 器 ) 确 保 您 的 DNS 基 础 设 施 工 作 正 常 您 可 能 需 要 将 DC 放 在 您 的 络 的 不 同 子 上, 并 在 部 署 过 程 中 根 据 需 要 捕 获 灵 活 单 一 主 机 操 作 (FSMO 或 操 作 主 机 ) 角 色, 以 确 保 最 高 的 AD 操 作 和 复 制 性 能 定 义 您 的 Splunk 部 署 在 您 的 Windows 络 准 备 就 绪 之 后, 接 下 来 您 必 需 决 定 将 Splunk 部 署 到 络 中 的 哪 个 位 置 考 虑 以 下 方 面 : 确 定 您 需 要 Splunk 在 每 台 计 算 机 上 为 其 建 立 索 引 的 数 据 集, 以 及 您 是 否 需 要 Splunk 针 对 任 何 收 集 到 的 数 据 发 出 告 警 如 可 行, 在 每 个 路 段 中 专 门 指 定 一 台 或 多 台 计 算 机 来 处 理 Splunk 索 引 操 作 有 关 分 布 式 Splunk 部 署 的 容 量 规 划 的 其 他 信 息, 请 阅 读 容 量 规 划 手 册 中 的 针 对 Splunk Enterprise 容 量 规 划 的 介 绍 14

不 要 在 运 行 耗 费 资 源 型 服 务 ( 例 如 :AD, 尤 其 是 执 行 FSMO 角 色 的 DC; 任 何 版 本 的 Exchange SQL Server;Hyper-V 或 VMWare 等 计 算 机 可 视 化 产 品 ) 的 计 算 机 上 安 装 整 个 Splunk 相 反, 应 使 用 通 用 转 发 器, 或 通 过 WMI 连 接 到 这 些 计 算 机 如 果 您 正 在 运 行 Windows Server 2008/2008 R2 Core, 当 您 在 这 些 计 算 机 上 安 装 Splunk 时, 请 记 住 您 将 无 法 在 Splunk Web 上 通 过 GUI 来 做 出 更 改 适 当 安 排 您 的 Splunk 布 局, 以 确 保 尽 量 使 用 最 小 资 源 络, 尤 其 是 对 于 较 为 薄 弱 的 WAN 链 路 通 用 转 发 器 可 以 显 著 地 减 少 在 络 上 发 送 的 Splunk 相 关 流 量 将 您 的 部 署 计 划 告 知 您 的 用 户 在 整 个 过 程 中 对 您 的 用 户 进 行 部 署 状 态 的 建 议 是 非 常 重 要 的 这 将 显 著 地 减 少 您 将 来 收 到 的 支 持 请 求 数 量 优 化 Splunk 以 获 得 高 性 能 与 许 多 服 务 一 样, 在 Windows 上 的 Splunk 也 需 要 适 当 的 维 护, 以 便 保 持 高 性 能 运 行 本 主 题 介 绍 您 可 以 在 部 署 期 间 或 之 后 采 用 哪 些 方 法 来 确 保 在 Windows 上 的 Splunk 能 够 正 常 运 行 要 确 保 Splunk 高 性 能 运 行 : 指 定 一 台 或 多 台 计 算 机 来 运 行 Splunk Splunk 具 有 水 平 或 横 向 伸 缩 性 这 意 味 着 通 过 增 加 运 行 Splunk 的 计 算 机 台 数, 而 不 是 增 加 单 台 计 算 机 的 资 源, 可 以 获 得 更 高 的 性 能 如 可 行, 应 拆 分 建 立 索 引 和 搜 索 活 动 并 在 多 台 计 算 机 上 运 行, 在 这 些 计 算 机 上 只 运 行 主 要 的 Splunk 服 务 除 了 通 用 转 发 器 之 外, 如 果 在 运 行 与 其 他 服 务 共 享 的 服 务 器 上 运 行 Splunk, 则 性 能 会 降 低 针 对 您 的 Splunk 索 引 使 用 专 用 高 速 磁 盘 用 于 Splunk 建 立 索 引 的 系 统 可 用 磁 盘 越 快,Splunk 的 运 行 速 度 也 越 快 如 可 行, 使 用 主 轴 转 速 超 过 10,000 RPM 的 磁 盘 如 需 针 对 Splunk 使 用 冗 余 存 储, 使 用 基 于 硬 件 的 RAID 1+0( 也 称 为 RAID 10) 它 提 供 了 速 度 和 冗 余 性 之 间 的 最 佳 平 衡 不 建 议 使 用 通 过 Windows 磁 盘 管 理 工 具 提 供 的 基 于 软 件 的 RAID 配 置 不 允 许 防 毒 程 序 扫 描 用 于 运 行 Splunk 作 业 的 磁 盘 当 防 毒 文 件 系 统 驱 动 器 对 访 问 文 件 执 行 病 毒 扫 描 时, 性 能 会 显 著 降 低, 尤 其 是 当 Splunk 内 部 老 化 最 近 建 立 索 引 的 数 据 时 如 果 您 必 须 在 运 行 Splunk 的 服 务 器 上 使 用 防 毒 程 序, 则 必 须 确 保 所 有 Splunk 目 录 和 程 序 被 排 除 在 访 问 文 件 时 的 扫 描 之 外 如 可 用, 使 用 多 个 索 引 将 由 Splunk 建 立 索 引 的 数 据 分 散 到 不 同 索 引 中 将 所 有 数 据 发 送 到 默 认 索 引 可 能 会 导 致 您 的 系 统 出 现 I/O 瓶 颈 问 题 应 根 据 情 况 配 置 您 的 索 引, 以 使 其 尽 量 指 向 系 统 中 的 不 同 物 理 卷 有 关 如 何 配 置 索 引 的 更 多 信 息, 请 参 阅 本 手 册 中 的 配 置 您 的 索 引 不 要 将 您 的 索 引 存 储 在 操 作 系 统 所 在 的 同 一 物 理 磁 盘 或 分 区 上 不 建 议 将 存 储 有 Windows 操 作 系 统 目 录 (%WINDIR%) 或 其 交 换 文 件 的 磁 盘 用 于 Splunk 数 据 存 储 应 将 您 的 Splunk 索 引 存 储 在 系 统 中 的 其 他 磁 盘 上 有 关 索 引 存 储 方 式 的 更 多 信 息, 包 括 数 据 库 数 据 桶 类 型 以 及 Splunk 如 何 存 储 与 老 化 这 些 项 目 的 信 息, 请 阅 读 本 手 册 中 的 Splunk 如 何 存 储 索 引 不 要 将 您 的 Splunk 索 引 的 热 / 温 数 据 桶 存 储 在 络 卷 上 络 延 迟 将 导 致 性 能 显 著 降 低 应 采 用 高 速 本 地 磁 盘 来 存 储 您 的 Splunk 索 引 的 热 / 温 数 据 桶 对 于 冷 / 冻 结 的 索 引 数 据 桶, 您 可 以 指 定 络 共 享, 例 如 分 布 式 文 件 系 统 (DFS) 卷 或 络 文 件 系 统 (NFS) 装 入 点, 但 应 注 意, 如 果 搜 索 包 含 那 些 存 储 在 冷 数 据 桶 中 的 数 据, 则 速 度 会 变 慢 保 持 您 的 Splunk 索 引 器 的 磁 盘 可 用 性 带 宽 和 可 用 空 间 确 保 用 于 存 储 Splunk 索 引 的 磁 盘 卷 始 终 具 有 20% 或 以 上 的 可 用 空 间 磁 盘 性 能 随 可 用 空 间 的 减 少 而 成 比 例 降 低, 因 为 这 时 磁 盘 寻 道 时 间 会 增 加 这 会 影 响 Splunk 建 立 数 据 索 引 的 速 度, 并 决 定 了 搜 索 结 果 报 告 和 告 警 的 返 回 速 度 在 默 认 的 Splunk 安 装 中, 用 于 包 含 您 索 引 的 驱 动 器 必 须 至 少 有 5,000 MB( 约 5 GB) 的 可 用 磁 盘 空 间, 否 则 建 立 索 引 操 作 将 暂 停 在 系 统 映 像 上 加 入 Splunk 本 主 题 介 绍 有 关 使 Splunk 成 为 每 个 Windows 系 统 映 像 或 安 装 过 程 的 一 部 分 的 概 念 它 还 引 导 您 完 成 大 致 的 集 成 过 程, 不 论 您 使 用 何 种 映 像 工 具 有 关 将 Windows 数 据 导 入 Splunk 的 更 多 信 息, 请 阅 读 数 据 导 入 手 册 中 的 关 于 Windows 数 据 和 Splunk 有 关 分 布 式 Splunk 部 署 的 信 息, 请 阅 读 分 布 式 部 署 手 册 中 的 分 布 式 概 述 这 也 是 您 了 解 如 何 实 施 Splunk 部 署 的 必 读 内 容 ( 不 论 您 采 用 哪 种 操 作 系 统 ) 您 还 可 以 从 中 读 到 有 关 Splunk 分 布 式 部 署 操 作 的 信 息 有 关 如 何 规 划 大 规 模 Splunk 部 署 的 信 息, 请 阅 读 容 量 规 划 手 册 中 的 针 对 Splunk Enterprise 容 量 规 划 的 介 绍 和 本 手 册 中 的 在 Windows 上 部 署 Splunk 在 Windows 上 的 系 统 集 成 概 念 将 Splunk 集 成 到 Windows 系 统 映 像 中 的 主 要 目 的 在 于 确 保 当 在 企 业 中 启 用 计 算 机 时 Splunk 能 够 立 即 可 用 这 样, 您 无 需 在 计 算 机 启 用 之 后 安 装 和 配 置 Splunk 15

在 此 方 案 中, 当 Windows 系 统 启 动 时, 它 将 在 引 导 后 立 即 启 动 Splunk 然 后, 根 据 所 安 装 Splunk 实 例 的 类 型 与 配 置,Splunk 要 么 集 合 该 计 算 机 的 数 据 并 转 发 给 某 个 索 引 器 ( 多 数 情 况 下 ), 要 么 开 始 对 那 些 从 其 他 Windows 计 算 机 转 发 过 来 的 数 据 建 立 索 引 系 统 管 理 员 还 可 以 配 置 Splunk 实 例 与 某 个 部 署 服 务 器 进 行 通 信, 以 便 执 行 后 续 配 置 和 更 新 管 理 在 许 多 典 型 环 境 中, 在 Windows 计 算 机 上 的 通 用 转 发 器 会 向 某 个 中 央 索 引 器 或 一 组 索 引 器 发 送 数 据, 然 后 根 据 您 的 特 定 需 求, 针 对 这 些 数 据 执 行 搜 索 报 告 和 告 警 系 统 集 成 注 意 事 项 将 Splunk 集 成 到 您 的 Windows 系 统 映 像 中 需 要 细 致 规 划 在 多 数 情 况 下, 集 成 到 Windows 系 统 映 像 中 的 首 选 Splunk 组 件 是 通 用 转 发 器 通 用 转 发 器 专 门 设 计 用 于 分 享 在 执 行 其 他 角 色 的 计 算 机 上 的 资 源, 它 能 够 以 非 常 低 的 成 本 来 执 行 索 引 器 可 执 行 的 大 量 工 作 您 还 可 以 通 过 Splunk 的 部 署 服 务 器 或 某 个 企 业 内 配 置 管 理 器 来 修 改 转 发 器 的 配 置, 而 无 需 使 用 Splunk Web 来 做 出 更 改 在 某 些 情 况 下, 您 可 能 需 要 将 整 个 Splunk 实 例 集 成 到 系 统 映 像 中 这 种 做 法 的 适 当 场 合 和 时 机, 取 决 于 您 的 特 定 需 求 和 资 源 可 用 性 Splunk 不 建 议 您 在 执 行 任 何 其 他 角 色 的 服 务 器 的 系 统 映 像 中 包 含 Splunk 的 完 整 版 本, 除 非 您 需 要 的 是 索 引 器 而 不 是 转 发 器 的 操 作 在 企 业 中 安 装 多 个 索 引 器 并 不 会 带 来 额 外 的 索 引 能 力 或 速 度, 相 反 可 能 带 来 意 外 的 结 果 在 将 Splunk 集 成 到 系 统 映 像 中 之 前, 请 考 虑 : 您 需 要 Splunk 来 建 立 索 引 的 数 据 量, 以 及 Splunk 需 要 将 这 些 数 据 发 送 到 何 处 ( 如 适 用 ) 这 将 直 接 用 于 磁 盘 空 间 计 算, 应 当 是 最 重 要 的 考 虑 因 素 要 在 映 像 或 计 算 机 上 安 装 的 Splunk 实 例 类 型 在 执 行 其 他 职 责 的 工 作 站 或 服 务 器 上 安 装 通 用 转 发 器 具 有 显 著 的 优 点, 但 在 某 些 情 况 下 可 能 不 太 适 合 在 安 装 映 像 的 计 算 机 上 可 用 的 系 统 资 源 在 每 个 映 像 系 统 上 有 多 少 可 用 磁 盘 空 间 RAM 和 CPU 资 源? 它 是 否 支 持 安 装 Splunk? 您 的 络 的 资 源 需 求 不 论 您 是 使 用 WMI 来 将 其 连 接 到 远 程 计 算 机 以 集 合 数 据, 或 是 在 每 台 计 算 机 上 安 装 转 发 器 并 向 索 引 器 发 送 数 据,Splunk 都 需 要 络 资 源 在 映 像 中 所 安 装 的 其 他 程 序 的 系 统 要 求 如 果 Splunk 与 另 一 个 服 务 器 共 享 资 源, 则 它 可 能 会 占 用 其 他 程 序 的 可 用 资 源 考 虑 您 是 否 应 在 运 行 完 整 Splunk 实 例 的 工 作 站 或 服 务 器 上 安 装 其 他 程 序 在 此 类 情 况 下, 通 用 转 发 器 更 能 胜 任, 因 为 它 采 用 轻 型 设 计 安 装 映 像 的 计 算 机 在 您 的 环 境 中 所 扮 演 的 角 色 将 成 为 只 诸 如 Office 这 类 生 产 力 应 用 程 序 运 行 的 工 作 站 吗? 或 者, 它 将 成 为 您 的 Active Directory 林 的 操 作 主 机 域 控 制 器? 将 Splunk 集 成 到 系 统 映 像 中 在 您 确 定 上 述 检 查 表 中 问 题 的 答 案 之 后, 下 一 步 是 将 Splunk 集 成 到 您 的 系 统 映 像 中 这 里 列 出 了 大 致 的 步 骤, 因 此 您 可 以 使 用 您 喜 好 的 系 统 映 像 或 配 置 工 具 来 完 成 该 任 务 从 下 列 系 统 集 成 选 项 中 选 择 一 项 : 将 通 用 转 发 器 集 成 到 系 统 映 像 中 将 Splunk 的 完 整 版 本 集 成 到 系 统 映 像 中 将 通 用 转 发 器 集 成 到 系 统 映 像 中 本 主 题 介 绍 将 Splunk 通 用 转 发 器 集 成 到 Windows 系 统 映 像 中 的 程 序 有 关 将 Splunk 集 成 到 映 像 中 的 其 他 信 息, 请 参 阅 将 Splunk 集 成 到 系 统 映 像 中 要 将 通 用 转 发 器 集 成 到 系 统 映 像 中 : 1. 使 用 基 准 计 算 机, 根 据 您 的 需 要 安 装 并 配 置 Windows, 包 括 安 装 任 何 所 需 的 Windows 功 能 修 补 程 序 和 其 他 组 件 2. 安 装 并 配 置 任 何 所 需 的 应 用 程 序, 同 时 兼 顾 Splunk 的 系 统 和 硬 件 容 量 需 求 3. 从 命 令 行 中 安 装 并 配 置 通 用 转 发 器, 应 至 少 提 供 LAUNCHSPLUNK=0 命 令 行 标 记 注 意 : 您 必 须 指 定 LAUNCHSPLUNK=0 命 令 行 标 记, 以 防 止 Splunk 在 安 装 完 成 后 立 即 运 行 4. 继 续 到 安 装 的 图 形 部 分, 选 择 所 需 的 输 入 部 署 服 务 器 和 / 或 转 发 器 目 标 5. 在 您 完 成 安 装 之 后, 打 开 命 令 提 示 符 16

6. 从 提 示 符 下, 编 辑 那 些 无 法 在 安 装 程 序 中 配 置 的 附 加 配 置 文 件 7. 关 闭 命 令 提 示 符 窗 口 8. 确 保 将 splunkd 服 务 设 为 自 动 启 动 为 此, 您 需 要 在 服 务 控 制 面 板 中 将 其 启 动 类 型 设 为 'Automatic' 9. 使 用 诸 如 SYSPREP( 适 用 于 Windows XP 和 Windows Server 2003/2003 R2) 和 / 或 Windows 系 统 映 像 管 理 器 (WSIM)( 对 于 Windows Vista Windows 7 和 Windows Server 2008/2008 R2) 等 工 具 来 准 备 系 统 映 像 以 便 加 入 域 注 意 :Microsoft 建 议 使 用 SYSPREP 和 WSIM 以 在 复 制 之 前 更 改 计 算 机 安 全 标 识 符 (SID), 这 与 使 用 第 三 方 工 具 ( 如 Ghost Walker 或 NTSID) 的 做 法 相 反 10. 在 您 配 置 好 用 于 创 建 映 像 的 系 统 之 后, 重 新 启 动 计 算 机, 并 使 用 您 喜 好 的 映 像 工 具 来 制 作 映 像 副 本 接 下 来 您 就 可 以 部 署 映 像 了 将 完 整 Splunk 集 成 到 系 统 映 像 中 本 主 题 介 绍 将 Splunk 的 完 整 版 本 集 成 到 Windows 系 统 映 像 中 的 程 序 有 关 将 Splunk 集 成 到 映 像 中 的 其 他 信 息, 请 参 阅 本 手 册 中 的 在 系 统 映 像 上 加 入 Splunk 要 将 Splunk 的 完 整 版 本 集 成 到 系 统 映 像 中 : 1. 使 用 基 准 计 算 机, 根 据 您 的 需 要 安 装 并 配 置 Windows, 包 括 安 装 任 何 所 需 的 Windows 功 能 修 补 程 序 和 其 他 组 件 2. 安 装 并 配 置 任 何 所 需 的 应 用 程 序, 同 时 兼 顾 Splunk 的 系 统 和 硬 件 容 量 需 求 3. 安 装 和 配 置 Splunk 重 要 提 示 : 您 可 以 使 用 GUI 安 装 程 序 来 进 行 安 装, 但 从 命 令 行 中 安 装 软 件 包 时 可 以 使 用 更 多 选 项 4. 在 您 配 置 Splunk 输 入 之 后, 打 开 命 令 提 示 符 5. 从 该 提 示 符 下, 切 换 到 %SPLUNK_HOME%\bin 目 录 并 发 出.\splunk stop 来 停 止 Splunk 6. 发 出.\splunk clean eventdata 以 清 除 任 何 事 件 数 据 7. 关 闭 命 令 提 示 符 窗 口 8. 确 保 将 splunkd 和 splunkweb 服 务 均 设 为 自 动 启 动 为 此, 您 需 要 在 服 务 控 制 面 板 中 将 其 启 动 类 型 设 为 'Automatic' 9. 使 用 诸 如 SYSPREP( 适 用 于 Windows XP 和 Windows Server 2003/2003 R2) 和 / 或 Windows 系 统 映 像 管 理 器 (WSIM)( 对 于 Windows Vista Windows 7 和 Windows Server 2008/2008 R2) 等 工 具 来 准 备 系 统 映 像 以 便 加 入 域 注 意 :Microsoft 建 议 使 用 SYSPREP 和 WSIM 以 在 复 制 之 前 更 改 计 算 机 安 全 标 识 符 (SID), 这 与 使 用 第 三 方 工 具 ( 如 Ghost Walker 或 NTSID) 的 做 法 相 反 10. 在 您 配 置 好 用 于 创 建 映 像 的 系 统 之 后, 重 新 启 动 计 算 机, 并 使 用 您 喜 好 的 映 像 工 具 来 制 作 映 像 副 本 接 下 来 您 就 可 以 部 署 映 像 了 使 用 Splunk Web 管 理 Splunk Enterprise 启 动 Splunk Web Splunk 运 行 后, 您 就 可 以 启 动 Web 界 面 Splunk Web 了 要 了 解 更 多 Splunk Web 相 关 信 息, 请 参 阅 : Splunk Web 管 理 任 务 导 航 Splunk Web 使 用 Splunk 搜 索 要 启 动 Splunk Web, 导 航 到 : 17

http://mysplunkhost:<port> 使 用 您 在 安 装 期 间 选 择 的 主 机 和 端 口 当 您 使 用 Enterprise 许 可 证 首 次 登 录 Splunk 时, 默 认 的 登 录 信 息 为 : 用 户 名 - admin 密 码 - changeme 注 意 : 使 用 免 费 许 可 证 的 Splunk 不 具 有 访 问 控 制, 因 此 不 会 提 示 您 输 入 登 录 信 息 注 意 : 从 Splunk 版 本 4.1.4 起, 您 无 法 从 远 程 浏 览 器 访 问 Splunk Free, 除 非 您 已 编 辑 $SPLUNK_HOME/etc/local/server.conf 并 将 allowremotelogin 设 置 为 Always 如 果 您 在 运 行 Splunk Enterprise, 则 默 认 情 况 下 禁 止 管 理 员 用 户 远 程 登 录 ( 设 为 requiresetpassword), 除 非 您 更 改 了 默 认 密 码 Splunk Web 管 理 任 务 Splunk Web 是 Splunk 的 基 于 浏 览 器 的 界 面 下 面 是 您 在 Splunk Web 中 可 以 执 行 的 项 操 作 : 配 置 数 据 导 入 搜 索 数 据 和 报 表 并 可 视 化 结 果 调 查 问 题 在 本 机 或 通 过 LDAP 策 略 管 理 用 户 Splunk 部 署 故 障 排 除 管 理 群 集 和 对 等 节 点 参 考 系 统 要 求 以 获 得 所 支 持 的 操 作 系 统 和 浏 览 器 列 表 Splunk 设 置 菜 单 Splunk Web 提 供 了 一 个 方 便 的 界 面 来 管 理 大 多 数 Splunk 的 操 作 大 多 数 功 能 均 可 通 过 单 击 菜 单 中 的 设 置 来 访 问 从 此 处, 您 可 以 : 管 理 数 据 在 设 置 > 数 据 下, 您 可 以 执 行 以 下 操 作 : 数 据 输 入 使 您 可 以 查 看 数 据 类 型 的 列 表 并 配 置 这 些 数 据 类 型 要 添 加 输 入, 请 单 击 数 据 导 入 页 面 中 的 添 加 数 据 按 钮 有 关 如 何 添 加 数 据 的 更 多 信 息, 请 参 阅 数 据 导 入 手 册 转 发 和 接 收 使 您 可 以 设 置 转 发 器 和 接 收 器 有 关 设 置 转 发 和 接 收 的 更 多 信 息, 请 参 阅 转 发 数 据 手 册 索 引 使 您 可 以 添 加 禁 用 和 启 用 索 引 报 表 加 速 摘 要 带 您 搜 索 和 报 表 应 用, 以 使 您 审 阅 现 有 的 报 表 摘 要 有 关 创 建 报 表 摘 要 的 更 多 信 息, 请 参 阅 知 识 管 理 器 手 册 管 理 用 户 和 用 户 验 证 通 过 导 航 到 设 置 > 用 户 和 验 证 > 访 问 控 制, 您 可 以 执 行 以 下 操 作 : 创 建 和 管 理 用 户 定 义 和 分 配 角 色 设 置 LDAP 验 证 策 略 有 关 使 用 用 户 和 验 证 的 更 多 信 息, 请 参 阅 确 保 Splunk 安 全 手 册 使 用 应 用 要 查 看 您 已 安 装 的 应 用, 请 选 择 菜 单 栏 中 的 应 用 在 此 页 面 上, 您 可 以 从 已 经 安 装 且 当 前 可 用 的 应 用 列 表 中 选 择 一 个 应 用 您 还 可 以 从 此 处 访 问 下 列 菜 单 选 项 : 查 找 更 多 应 用 使 您 可 以 搜 索 并 安 装 其 他 应 用 管 理 应 用 使 您 可 以 管 理 现 有 应 用 您 还 可 以 从 主 页 页 面 访 问 所 有 应 用 有 关 应 用 的 更 多 信 息, 请 参 阅 开 发 用 于 Splunk Web 的 视 图 和 应 用 管 理 系 统 的 各 个 方 面 18

设 置 > 系 统 下 的 选 项 允 许 您 执 行 以 下 操 作 : 服 务 器 设 置 使 您 可 以 管 理 Splunk 设 置, 如 端 口 主 机 名 索 引 路 径 电 子 邮 件 服 务 器 以 及 系 统 日 志 和 部 署 客 户 端 信 息 有 关 使 用 Splunk Web 配 置 和 管 理 分 布 式 环 境 的 更 多 信 息, 请 参 阅 更 新 Splunk 组 件 手 册 服 务 器 控 件 使 您 可 以 重 新 启 动 Splunk 许 可 授 权 使 您 可 以 管 理 Splunk 许 可 证 并 延 长 其 有 效 期 Splunk Enterprise 默 认 仪 表 板 Splunk Enterprise 附 带 了 一 系 列 有 用 的 仪 表 板 它 们 有 助 于 您 排 除 系 统 故 障 和 进 行 搜 索, 还 能 帮 助 您 了 解 您 需 要 如 何 设 计 您 自 己 的 仪 表 板 和 视 图 活 动 仪 表 板 您 可 以 通 过 单 击 页 面 顶 部 附 近 的 用 户 栏 中 的 活 动 > 系 统 活 动 找 到 下 列 仪 表 板 注 意 : 这 些 仪 表 板 仅 对 具 备 管 理 员 角 色 权 限 的 用 户 可 见 请 参 阅 确 保 Splunk Enterprise 安 全 中 的 添 加 和 管 理 用 户 有 关 设 置 仪 表 板 权 限 的 信 息, 请 参 阅 知 识 管 理 器 手 册 搜 索 活 动 - 该 仪 表 板 集 合 提 供 有 关 您 的 Splunk 实 例 搜 索 活 动 的 速 览 信 息 您 可 以 了 解 到 搜 索 何 时 运 行 它 们 对 系 统 产 生 的 负 载 量 哪 些 搜 索 最 常 用 哪 些 搜 索 视 图 和 仪 表 板 用 得 最 多 等 等 提 供 的 仪 表 板 如 下 : 搜 索 活 动 概 述 搜 索 详 细 信 息 搜 索 用 户 活 动 服 务 器 活 动 - 该 仪 表 板 的 集 合 提 供 有 关 splunkd 和 Splunk Web 性 能 的 指 标 信 息, 而 且 便 于 进 行 故 障 排 除 您 可 以 看 到 所 报 告 的 错 误 数 量 最 近 错 误 列 表 时 间 戳 问 题 和 未 处 理 的 异 常 状 况 列 表 显 示 近 期 浏 览 器 使 用 情 况 的 图 表 等 等 提 供 的 仪 表 板 如 下 : 内 部 消 息 和 错 误 许 可 证 使 用 情 况 计 划 程 序 活 动 - 该 仪 表 板 的 集 合 允 许 您 深 入 了 解 搜 索 计 划 程 序 的 工 作 情 况, 确 保 及 时 运 行 特 殊 和 计 划 的 搜 索 计 划 程 序 活 动 概 述 按 用 户 或 应 用 的 计 划 程 序 活 动 依 据 保 存 搜 索 的 计 划 程 序 活 动 计 划 程 序 错 误 摘 要 仪 表 板 摘 要 仪 表 板 是 您 在 进 入 搜 索 和 报 表 应 用 之 后 首 先 看 到 的 内 容 它 提 供 了 一 个 搜 索 栏 和 时 间 范 围 挑 选 器, 您 可 以 用 它 们 来 输 入 并 运 行 您 的 初 始 搜 索 当 您 将 某 个 输 入 添 加 到 Splunk 时, 该 输 入 将 与 您 当 前 使 用 的 应 用 建 立 关 联 某 些 应 用 ( 例 如 *nix 和 Windows 应 用 ) 会 将 输 入 数 据 写 入 到 特 定 索 引 ( 对 于 *nix 和 Windows, 此 为 os 索 引 ) 如 果 您 查 看 摘 要 仪 表 板, 但 看 不 到 那 些 您 确 定 其 位 于 Splunk 中 的 数 据, 请 确 保 您 在 正 确 的 索 引 上 进 行 查 看 您 可 能 需 要 将 某 个 应 用 使 用 的 索 引 添 加 到 您 当 前 角 色 的 默 认 索 引 列 表 有 关 角 色 的 更 多 信 息, 请 参 阅 确 保 Splunk 安 全 中 关 于 角 色 的 此 主 题 有 关 摘 要 仪 表 板 的 更 多 信 息, 请 参 阅 搜 索 教 程 自 定 义 Splunk Web 横 幅 消 息 您 可 以 添 加 和 编 辑 用 户 登 录 时 其 页 面 上 方 显 示 的 通 知 通 知 也 将 在 Splunk Web 中 的 消 息 菜 单 下 显 示 您 需 要 管 理 员 或 系 统 用 户 级 别 权 限 来 添 加 或 编 辑 通 知 要 更 改 或 编 辑 通 知 : 1. 选 择 设 置 > 用 户 界 面 2. 单 击 新 建 以 创 建 新 消 息, 或 单 击 公 告 消 息 并 选 择 您 想 要 编 辑 的 消 息 19

3. 编 辑 现 有 消 息 文 本, 或 为 新 消 息 指 定 一 个 名 称 和 消 息 文 本 4. 单 击 保 存 此 消 息 将 会 在 页 面 顶 部 显 示 为 色 横 幅 它 也 会 在 消 息 菜 单 中 显 示 为 说 明 配 合 使 用 Splunk Web 与 代 理 服 务 器 当 Splunk Web 位 于 代 理 服 务 器 之 后 时, 用 户 使 用 访 问 Splunk 站 的 Splunk Web 链 接 时 可 能 会 遇 到 问 题 例 如, 一 些 Splunk Web 页 面 直 接 链 接 到 Splunk 应 用 的 下 载 站 点, 许 多 了 解 更 多 信 息 链 接 将 使 您 访 问 在 线 文 档 要 解 决 此 问 题, 只 需 设 置 HTTP_PROXY 环 境 变 量 要 获 得 永 久 性 结 果, 您 可 以 在 splunk-launch.conf 配 置 文 件 中 指 定 设 置, 该 文 件 位 于 $SPLUNK_HOME/etc/(*nix 系 统 ) 和 %SPLUNK_HOME%\etc\(Windows 系 统 ) 中 注 意 : 应 用 管 理 器 不 支 持 用 于 代 理 服 务 器, 如 果 您 使 用 带 有 Splunk Web 的 代 理 服 务 器, 您 必 须 手 动 下 载 和 更 新 应 用 在 splunk-launch.conf 中, 添 加 以 下 属 性 / 值 对 : HTTP_PROXY = <IP address or host name>:<port number> 例 如 : HTTP_PROXY = 10.1.8.11:8787 重 要 提 示 : 如 果 代 理 服 务 器 仅 处 理 HTTPS 请 求, 则 必 须 使 用 以 下 属 性 / 值 对 : HTTPS_PROXY = <IP address or host name>:<port number> 例 如 : HTTPS_PROXY = 10.1.8.11:8888 使 用 配 置 文 件 管 理 Splunk Enterprise 关 于 配 置 文 件 Splunk Enterprise 的 配 置 信 息 都 存 储 在 配 置 文 件 中 这 些 文 件 由.conf 扩 展 名 标 识, 其 中 保 存 配 置 不 同 方 面 的 信 息 这 些 方 面 包 括 : 系 统 设 置 验 证 和 授 权 信 息 索 引 映 射 和 设 置 部 署 和 群 集 配 置 知 识 对 象 和 已 保 存 的 搜 索 有 关 配 置 文 件 的 列 表 以 及 每 个 文 件 所 涵 盖 内 容 的 概 述, 请 参 阅 本 手 册 中 的 配 置 文 件 列 表 大 多 数 配 置 文 件 均 附 带 了 "$SPLUNK_HOME/etc/system/default/ 目 录 中 的 Splunk 软 件 使 用 Splunk Web 来 管 理 配 置 文 件 在 Splunk Web 中 更 改 配 置 时, 此 更 改 会 写 入 到 该 设 置 的 配 置 文 件 副 本 中 Splunk 软 件 创 建 此 配 置 文 件 的 副 本 ( 如 果 不 存 在 ) 将 更 改 写 入 到 此 副 本, 并 将 其 添 加 到 $SPLUNK_HOME/etc/... 下 的 某 个 目 录 中 新 文 件 所 添 加 到 的 目 录 取 决 于 多 个 因 素, 这 将 在 本 手 册 的 配 置 文 件 目 录 中 加 以 讨 论 最 常 见 的 目 录 为 $SPLUNK_HOME/etc/system/local, 在 本 示 例 中 使 用 此 目 录 如 果 您 在 Splunk Web 中 添 加 一 个 新 索 引, 软 件 会 执 行 下 列 操 作 : 1. 检 查 文 件 的 副 本 是 否 存 在 2. 如 果 无 副 本 存 在, 软 件 会 创 建 indexes.conf 的 副 本 并 将 其 添 加 到 $SPLUNK_HOME/etc/system/local 之 类 的 目 录 中 3. 将 更 改 写 入 到 indexes.conf 的 副 本 中 4. 在 $SPLUNK_HOME/etc/system/default 中 保 留 未 更 改 的 默 认 文 件 20

直 接 编 辑 配 置 文 件 尽 管 可 以 从 Splunk Web 进 行 许 多 配 置, 但 您 也 可 以 针 对 任 一 设 置 直 接 编 辑 配 置 文 件 对 于 Splunk Web 不 支 持 的 更 为 高 级 的 自 定 义,Splunk Web 不 能 访 问 此 属 性 您 必 须 直 接 编 辑 配 置 文 件 注 意 : 与 在 Splunk Web 中 进 行 更 改 相 比, 编 辑 配 置 文 件 需 要 重 新 启 动 的 频 率 更 高 请 参 阅 本 手 册 中 的 更 改 配 置 文 件 之 后 何 时 重 新 启 动 Splunk 重 要 提 示 : 不 要 更 改 或 复 制 默 认 目 录 中 的 配 置 文 件 默 认 文 件 必 须 保 持 原 样 并 位 于 其 原 始 位 置 要 更 改 特 定 配 置 文 件 的 设 置, 必 须 先 在 非 默 认 目 录 中 创 建 新 版 本 文 件, 然 后 添 加 想 要 更 改 的 设 置 有 关 您 可 以 编 辑 配 置 文 件 的 目 录 位 置 相 关 信 息, 请 参 阅 配 置 文 件 目 录 开 始 创 建 文 件 新 版 本 时, 以 空 文 件 开 始 不 要 以 默 认 目 录 副 本 开 始 在 您 更 改 任 何 配 置 文 件 之 前 : 了 解 默 认 配 置 文 件 如 何 工 作 以 及 您 编 辑 的 副 本 应 置 于 何 处 请 参 阅 本 手 册 中 的 配 置 文 件 目 录 了 解 构 成 配 置 文 件 的 段 落 结 构 以 及 如 何 设 置 要 编 辑 的 属 性 请 参 阅 本 手 册 中 的 配 置 文 件 结 构 了 解 不 同 目 录 中 同 一 配 置 文 件 的 不 同 副 本 如 何 分 层 放 置, 以 便 您 知 道 您 副 本 的 最 佳 放 置 位 置 请 参 阅 本 手 册 中 的 配 置 文 件 优 先 顺 序 熟 悉 配 置 文 件 内 容 和 目 录 结 构 并 了 解 如 何 利 用 Splunk Enterprise 的 配 置 文 件 优 先 顺 序 后, 请 参 阅 如 何 编 辑 配 置 文 件 以 了 解 如 何 安 全 地 修 改 文 件 配 置 文 件 目 录 单 个 Splunk 实 例 通 常 有 配 置 文 件 的 多 个 版 本, 分 散 在 个 目 录 中 您 可 以 有 个 具 有 相 同 名 称 的 配 置 文 件, 分 放 在 default local 和 app 目 录 中 这 样 可 以 形 成 层 级, 允 许 Splunk 基 于 因 素 ( 例 如 当 前 用 户 和 当 前 应 用 ) 决 定 配 置 优 先 级 要 了 解 有 关 Splunk 如 何 评 定 配 置 优 先 级 的 更 多 信 息, 请 参 阅 配 置 文 件 优 先 顺 序 注 意 : 给 定 配 置 文 件 最 准 确 的 设 置 列 表 在 该 配 置 文 件 的.spec 文 件 中.spec 和.example 文 件 的 最 新 版 本 在 配 置 文 件 参 考 或 $SPLUNK_HOME/etc/system/README 中 关 于 默 认 文 件 上 述 所 有 目 录 您 都 可 以 随 意 更 改, 除 了 /default - 不 要 尝 试 编 辑 任 何 内 容 -- duckfez, 2010 默 认 目 录 包 含 预 配 置 版 本 的 配 置 文 件 默 认 目 录 位 置 是 $SPLUNK_HOME/etc/system/default 重 要 提 示 : 不 要 更 改 或 复 制 默 认 目 录 中 的 配 置 文 件 默 认 文 件 必 须 保 持 原 样 并 位 于 其 原 始 位 置 Splunk Enterprise 升 级 过 程 将 覆 盖 默 认 目 录, 因 此 默 认 目 录 下 所 做 的 所 有 更 改 在 升 级 过 程 中 将 丢 失 非 默 认 配 置 目 录 下 所 做 的 更 改, 例 如 $SPLUNK_HOME/etc/system/local 或 $SPLUNK_HOME/etc/apps/<app_name>/local 升 级 后 仍 存 在 要 更 改 特 定 配 置 文 件 的 属 性 值, 必 须 先 在 非 默 认 目 录 中 创 建 新 版 本 文 件, 然 后 在 其 中 修 改 值 非 默 认 目 录 中 的 值 优 先 于 默 认 目 录 中 的 值 注 意 : 开 始 创 建 新 版 本 文 件 时, 以 空 文 件 开 始, 仅 添 加 需 要 更 改 的 属 性 不 要 以 默 认 目 录 副 本 开 始 如 果 您 将 整 个 默 认 文 件 复 制 到 优 先 级 较 高 的 位 置, 则 将 来 Splunk Enterprise 升 级 时 默 认 值 的 任 意 更 改 将 不 会 生 效, 因 为 复 制 的 文 件 中 的 值 将 覆 盖 默 认 文 件 中 更 新 的 值 在 何 处 放 置 ( 或 查 找 ) 已 修 改 的 配 置 文 件 您 可 以 将 配 置 文 件 的 个 版 本 分 层 堆 叠 在 一 起,Splunk 按 照 配 置 文 件 优 先 顺 序 中 介 绍 的 分 层 堆 叠 方 案 使 用 不 同 的 属 性 值 切 勿 在 默 认 目 录 中 编 辑 文 件 而 是 在 配 置 目 录 之 一 中 创 建 和 / 或 编 辑 文 件, 例 如 $SPLUNK_HOME/etc/system/local 升 级 过 程 中 不 会 覆 盖 这 些 目 录 对 于 大 多 数 部 署, 您 可 以 使 用 $SPLUNK_HOME/etc/system/local 目 录 进 行 配 置 更 改 然 而, 在 某 些 情 况 下, 您 可 能 希 望 使 用 其 他 目 录 中 的 文 件 下 面 是 $SPLUNK_HOME/etc 中 的 配 置 目 录 结 构 : $SPLUNK_HOME/etc/system/local 基 于 站 范 围 的 本 地 更 改 存 储 在 此 目 录 中 ; 例 如, 想 要 可 供 所 有 应 用 使 用 的 设 置 如 果 此 目 录 中 尚 不 存 在 您 正 在 查 找 的 配 置 文 件, 请 创 建 该 文 件 并 授 予 其 写 入 权 限 $SPLUNK_HOME/etc/slave-apps/[_cluster <app_name>]/[local default] 仅 供 群 集 对 等 节 点 使 用 $SPLUNK_HOME/etc/slave-apps 下 的 子 目 录 包 含 所 有 对 等 节 点 通 用 的 配 置 文 件 不 要 更 改 群 集 对 等 节 点 本 身 的 这 些 子 目 录 的 内 容 而 是 使 用 群 集 主 节 点 来 将 任 何 新 的 或 已 修 改 的 文 件 分 21

发 给 这 些 子 目 录 _cluster 目 录 包 含 的 配 置 文 件 虽 然 并 不 属 于 真 正 应 用 中 的 一 部 分, 但 是 在 所 有 对 等 节 点 之 间 必 须 保 持 一 致 indexes.conf 文 件 就 是 一 个 典 型 示 例 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 更 新 通 用 对 等 节 点 配 置 $SPLUNK_HOME/etc/apps/<app_name>/[local default] 如 果 进 行 配 置 更 改 时 您 在 应 用 中, 则 设 置 会 写 入 应 用 的 /local 目 录 中 的 配 置 文 件 例 如, 在 默 认 Splunk 搜 索 应 用 中 对 搜 索 时 间 设 置 所 做 的 编 辑 会 写 入 :$SPLUNK_HOME/etc/apps/search/local/ 如 果 您 想 要 编 辑 配 置 文 件, 但 使 更 改 仅 应 用 于 某 一 应 用, 则 将 配 置 文 件 复 制 到 该 应 用 的 /local 目 录 ( 具 有 写 入 权 限 ) 中, 然 后 在 此 目 录 中 进 行 更 改 $SPLUNK_HOME/etc/users 用 户 特 定 的 配 置 更 改 写 入 此 处 $SPLUNK_HOME/etc/system/README 此 目 录 包 含 支 持 参 考 文 档 对 于 大 多 数 配 置 文 件, 有 两 个 参 考 文 件 :.spec 和.example; 例 如 inputs.conf.spec 和 inputs.conf.example.spec 文 件 指 定 语 法, 包 括 可 用 属 性 和 变 量 列 表.example 文 件 包 含 实 际 用 法 示 例 配 置 文 件 结 构 编 辑 配 置 文 件 之 前, 您 自 己 应 熟 悉 这 些 文 件 的 结 构 段 落 配 置 文 件 由 一 个 或 多 个 段 落 或 章 节 组 成 每 个 段 落 的 开 头 是 段 落 标 题, 以 方 括 号 括 起 此 标 题 标 识 该 段 落 中 所 保 留 的 设 置 每 个 设 置 均 为 指 定 特 定 配 置 设 置 的 属 性 值 对 例 如,inputs.conf 提 供 [SSL], 其 中 包 括 服 务 器 证 书 和 密 码 的 设 置 ( 以 及 其 他 设 置 ): [SSL] servercert = <pathname> password = <password> 其 中 一 些 属 性 为 必 填, 而 另 一 些 属 性 为 可 选, 具 体 取 决 于 段 落 类 型 设 置 新 段 落 编 辑 配 置 文 件 时, 您 可 能 要 更 改 默 认 段 落 ( 如 上 所 述 ), 也 可 能 需 要 添 加 全 新 的 段 落 基 本 模 式 如 下 : [stanza1_header] <attribute1> = <val1> comment <attribute2> = <val2>... [stanza2_header] <attribute1> = <val1> <attribute2> = <val2>... 重 要 提 示 : 属 性 区 分 大 小 写 例 如 sourcetype = my_app 与 SOURCETYPE = my_app 不 同 其 中 一 个 起 作 用, 另 一 个 不 起 作 用 段 落 范 围 配 置 文 件 常 常 会 有 不 同 范 围 的 段 落, 更 为 具 体 详 细 的 段 落 优 先 例 如, 假 设 此 outputs.conf 配 置 文 件 示 例, 用 于 配 置 转 发 器 : [tcpout] indexandforward=true compressed=true [tcpout:my_indexersa] autolb=true compressed=false server=mysplunk_indexer1:9997, mysplunk_indexer2:9997 22

[tcpout:my_indexersb] autolb=true server=mysplunk_indexer3:9997, mysplunk_indexer4:9997 请 注 意, 本 示 例 文 件 有 两 个 段 落 层 级 : 全 局 [tcpout], 包 含 影 响 所 有 tcp 转 发 的 设 置 两 个 [tcpout:<target_list>] 段 落, 其 设 置 仅 影 响 在 每 个 目 标 组 中 定 义 的 索 引 器 compressed 在 [tcpout:my_indexersa] 中 的 设 置 覆 盖 该 属 性 在 [tcpout] 中 的 设 置, 仅 适 用 于 my_indexersa 目 标 组 中 的 索 引 器 有 关 转 发 器 和 outputs.conf 的 更 多 信 息, 请 参 阅 使 用 outputs.conf 配 置 转 发 器 配 置 文 件 优 先 顺 序 有 关 配 置 文 件 的 更 多 信 息, 请 阅 读 关 于 配 置 文 件 Splunk 使 用 配 置 文 件 确 定 其 行 为 的 乎 各 个 方 面 单 个 Splunk 实 例 可 以 具 有 同 一 配 置 文 件 的 多 个 副 本 这 些 文 件 副 本 通 常 分 层 放 置 在 影 响 用 户 应 用 或 系 统 整 体 的 目 录 中 编 辑 配 置 文 件 时, 了 解 Splunk 如 何 评 估 这 些 文 件 以 及 这 些 文 件 的 优 先 顺 序 非 常 重 要 合 并 更 改 时,Splunk 对 配 置 文 件 执 行 下 列 操 作 : Splunk 按 照 基 于 位 置 的 优 先 顺 序 方 案 合 并 来 自 文 件 的 所 有 副 本 的 设 置 当 不 同 副 本 有 冲 突 的 属 性 值 时 ( 也 就 是 说, 不 同 副 本 将 相 同 属 性 设 置 为 不 同 值 时 ),Splunk 使 用 具 有 最 高 优 先 级 的 文 件 的 值 Splunk 按 照 配 置 文 件 在 其 目 录 结 构 中 的 位 置 来 确 定 优 先 级 ( 依 据 文 件 是 在 系 统 目 录 应 用 目 录 还 是 用 户 目 录 中 ) 确 定 应 用 目 录 集 合 中 的 优 先 级 时,Splunk 使 用 ASCII 排 序 顺 序 应 用 目 录 中 名 称 包 含 "A" 的 文 件 比 应 用 目 录 中 名 称 包 含 "B" 的 文 件 的 优 先 级 高, 以 此 类 推 注 意 : 除 了 解 决 一 个 文 件 的 多 个 副 本 之 间 的 配 置 设 置 之 外,Splunk 有 时 还 需 要 解 决 单 个 文 件 中 的 设 置 有 关 Splunk 如 何 在 单 个 props.conf 文 件 中 确 定 优 先 顺 序 的 信 息, 请 参 阅 单 个 props.conf 文 件 中 的 属 性 优 先 顺 序 关 于 配 置 文 件 上 下 文 如 何 确 定 优 先 顺 序 取 决 于 文 件 的 上 下 文 应 用 或 用 户 上 下 文 与 全 局 上 下 文 要 确 定 配 置 文 件 的 多 个 副 本 的 优 先 级,Splunk 首 先 确 定 目 录 方 案 Splunk 使 用 两 个 主 要 的 目 录 优 先 顺 序 方 案 应 用 或 用 户 : 一 些 活 动 ( 如 搜 索 ) 发 生 在 应 用 或 用 户 上 下 文 中 应 用 或 用 户 上 下 文 对 于 搜 索 时 间 处 理 非 常 重 要, 其 中 某 些 知 识 对 象 或 动 作 可 能 仅 对 特 定 应 用 中 的 特 定 用 户 有 效 全 局 : 建 立 索 引 等 活 动 发 生 在 全 局 上 下 文 中 它 们 独 立 于 应 用 或 用 户 例 如, 确 定 监 视 行 为 的 配 置 文 件 发 生 在 应 用 或 用 户 上 下 文 外, 但 其 本 质 上 属 于 全 局 上 下 文 群 集 对 等 节 点 配 置 上 下 文 对 于 群 集 对 等 节 点 全 局 配 置, 还 有 扩 展 的 优 先 顺 序 这 是 因 为 一 些 配 置 文 件 ( 例 如 indexes.conf) 必 须 在 所 有 对 等 节 点 之 间 都 相 同 要 保 持 文 件 一 致, 需 从 群 集 主 节 点 对 其 进 行 管 理, 这 样 文 件 便 分 布 至 对 等 节 点, 以 便 所 有 对 等 节 点 都 包 含 相 同 的 文 件 版 本 这 些 文 件 在 群 集 对 等 节 点 的 配 置 中 具 有 最 高 优 先 级, 这 将 在 下 一 节 中 介 绍 有 关 如 何 跨 对 等 节 点 分 布 配 置 的 更 多 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 更 新 通 用 对 等 节 点 配 置 Splunk 如 何 确 定 优 先 顺 序 本 小 节 将 对 优 先 顺 序 和 上 下 文 的 概 念 进 行 介 绍 对 于 按 目 录 名 称 排 序 的 列 表, 请 参 阅 将 在 本 主 题 稍 后 部 分 介 绍 的 目 录 优 先 顺 序 摘 要 全 局 上 下 文 内 的 优 先 顺 序 : 23

当 上 下 文 为 全 局 时 ( 即, 其 中 没 有 应 用 或 用 户 上 下 文 ), 目 录 优 先 级 按 以 下 顺 序 下 降 : 1.System local 目 录 -- 最 高 优 先 级 2.App local 目 录 3.App default 目 录 4.System default 目 录 -- 最 低 优 先 级 使 用 全 局 配 置 时 ( 例 如 inputs.conf),splunk 首 先 使 用 来 自 system/local 中 文 件 副 本 的 属 性 然 后 查 找 app 目 录 中 文 件 的 副 本, 追 加 在 其 中 找 到 的 属 性, 但 忽 略 已 在 system/local 中 发 现 的 属 性 最 后, 对 于 在 系 统 级 或 应 用 级 都 未 显 示 分 配 的 属 性, 为 其 分 配 system/default 目 录 中 文 件 的 默 认 值 注 意 : 群 集 对 等 节 点 具 有 扩 展 的 优 先 顺 序, 下 一 节 将 对 此 进 行 介 绍 群 集 对 等 节 点 的 优 先 顺 序 对 于 群 集 对 等 节 点, 全 局 上 下 文 会 考 虑 一 些 额 外 的 对 等 节 点 特 定 ("slave-app") 目 录 这 些 目 录 包 含 一 些 在 所 有 对 等 节 点 之 间 都 相 同 的 应 用 和 配 置 以 下 是 扩 展 的 群 集 对 等 节 点 优 先 顺 序 : 1.Slave-app local 目 录 ( 仅 适 用 于 群 集 对 等 节 点 )-- 最 高 优 先 级 2.System local 目 录 3.App local 目 录 4.Slave-app default 目 录 ( 仅 适 用 于 群 集 对 等 节 点 ) 5.App default 目 录 6.System default 目 录 -- 最 低 优 先 级 带 有 群 集 对 等 节 点, 并 对 所 有 对 等 节 点 通 用 的 自 定 义 设 置 (slave-app local 目 录 中 的 那 些 设 置 ) 具 有 最 高 优 先 级 应 用 或 用 户 上 下 文 内 的 优 先 顺 序 有 应 用 或 用 户 上 下 文 时, 目 录 优 先 级 为 从 user 降 至 app 降 至 system: 1. 当 前 用 户 的 User 目 录 -- 最 高 优 先 级 2. 当 前 运 行 的 应 用 的 App 目 录 (local, 后 跟 default) 3. 所 有 其 他 应 用 的 App 目 录 (local, 后 跟 default)-- 仅 适 用 于 导 出 设 置 4.System 目 录 (local, 后 跟 default)-- 最 低 优 先 级 例 如,savedsearches.conf 中 的 属 性 可 在 所 有 三 个 层 级 设 置 : 用 户 级 应 用 级 和 系 统 级 Splunk 始 终 使 用 用 户 级 属 性 的 值 ( 如 果 有 ), 优 先 于 在 应 用 级 或 系 统 级 设 置 的 相 同 属 性 的 值 应 用 目 录 名 称 如 何 影 响 优 先 顺 序 注 意 : 就 大 多 数 实 际 用 途 而 言, 此 小 节 中 的 信 息 可 能 无 关 紧 要, 但 如 果 您 需 要 强 制 按 某 一 顺 序 进 行 评 估 或 者 故 障 排 除, 则 此 信 息 非 常 有 用 确 定 应 用 目 录 集 合 中 的 优 先 级 时,Splunk 使 用 ASCII 排 序 顺 序 应 用 目 录 中 名 称 包 含 "A" 的 文 件 比 应 用 目 录 中 名 称 包 含 "B" 的 文 件 的 优 先 级 高, 以 此 类 推 此 外, 以 大 写 字 母 开 始 的 所 有 应 用 的 优 先 级 将 高 于 以 小 写 字 母 开 头 的 所 有 应 用, 这 是 由 ASCII 排 序 顺 序 决 定 的 ( 例 如,"A" 的 优 先 级 高 于 "Z", 但 "Z" 的 优 先 级 高 于 "a" ) 此 外, 数 字 表 示 的 目 录 的 优 先 级 比 字 母 表 示 的 目 录 的 优 先 级 高, 按 词 典 顺 序 进 行 评 估, 而 不 是 按 数 字 顺 序 进 行 评 估 例 如, 按 降 序 排 列 的 优 先 顺 序 : $SPLUNK_HOME/etc/apps/myapp1 $SPLUNK_HOME/etc/apps/myapp10 $SPLUNK_HOME/etc/apps/myapp2 $SPLUNK_HOME/etc/apps/myapp20... $SPLUNK_HOME/etc/apps/myappApple $SPLUNK_HOME/etc/apps/myappBanana $SPLUNK_HOME/etc/apps/myappZabaglione... $SPLUNK_HOME/etc/apps/myappapple $SPLUNK_HOME/etc/apps/myappbanana $SPLUNK_HOME/etc/apps/myappzabaglione... 注 意 : 在 应 用 或 用 户 上 下 文 中 确 定 优 先 顺 序 时, 目 前 正 在 运 行 的 应 用 的 目 录 优 先 于 所 有 其 他 应 用 的 目 录, 与 目 录 的 命 名 方 式 无 关 此 外, 其 他 应 用 方 面 的 检 查 应 当 仅 针 对 于 导 出 设 置 24

目 录 优 先 顺 序 摘 要 总 而 言 之, 目 录 优 先 级 顺 序 从 最 高 到 最 低 如 下 : 全 局 上 下 文 : $SPLUNK_HOME/etc/system/local/* $SPLUNK_HOME/etc/apps/A/local/*... $SPLUNK_HOME/etc/apps/z/local/* $SPLUNK_HOME/etc/apps/A/default/*... $SPLUNK_HOME/etc/apps/z/default/* $SPLUNK_HOME/etc/system/default/* 全 局 上 下 文 - 仅 供 群 集 对 等 节 点 使 用 : $SPLUNK_HOME/etc/slave-apps/A/local/*... $SPLUNK_HOME/etc/slave-apps/z/local/* $SPLUNK_HOME/etc/system/local/* $SPLUNK_HOME/etc/apps/A/local/*... $SPLUNK_HOME/etc/apps/z/local/* $SPLUNK_HOME/etc/slave-apps/A/default/*... $SPLUNK_HOME/etc/slave-apps/z/default/* $SPLUNK_HOME/etc/apps/A/default/*... $SPLUNK_HOME/etc/apps/z/default/* $SPLUNK_HOME/etc/system/default/* 重 要 提 示 : 在 slave-apps/[local default] 目 录 中, 特 殊 _cluster 子 目 录 的 优 先 级 要 高 于 以 小 写 字 母 开 头 的 所 有 应 用 子 目 录 ( 如 anapp) 但 是, 该 子 目 录 的 优 先 级 要 低 于 以 大 写 字 母 开 头 的 所 有 应 用 ( 如 AnApp) 这 是 由 下 划 线 ("_") 字 符 在 ASCII 排 序 顺 序 中 的 位 置 决 定 的 应 用 或 用 户 上 下 文 : $SPLUNK_HOME/etc/users/* $SPLUNK_HOME/etc/apps/Current_running_app/local/* $SPLUNK_HOME/etc/apps/Current_running_app/default/* $SPLUNK_HOME/etc/apps/A/local/*, $SPLUNK_HOME/etc/apps/A/default/*,... $SPLUNK_HOME/etc/apps/z/local/*, $SPLUNK_HOME/etc/apps/z/default/* (but see note below) $SPLUNK_HOME/etc/system/local/* $SPLUNK_HOME/etc/system/default/* 重 要 提 示 : 在 应 用 或 用 户 上 下 文 中, 目 前 正 在 运 行 的 应 用 的 所 有 配 置 文 件 优 先 于 所 有 其 他 应 用 的 文 件 此 规 则 也 适 用 于 该 应 用 的 local 和 default 目 录 因 此, 如 果 当 前 上 下 文 是 应 用 C,Splunk 会 先 评 估 $SPLUNK_HOME/etc/apps/C/local/* 和 $SPLUNK_HOME/etc/apps/C/default/*, 然 后 再 评 估 其 他 应 用 的 local 或 default 目 录 此 外, 如 本 主 题 中 有 关 设 置 应 用 权 限 的 说 明 所 述, 只 有 当 其 他 应 用 的 配 置 数 据 已 通 过 该 应 用 的 default.meta 文 件 全 局 导 出 时,Splunk 才 会 查 看 这 些 数 据 同 理, 请 注 意, 只 有 当 特 定 用 户 登 录 或 执 行 搜 索 时, 才 会 评 估 /etc/users/ 属 性 优 先 顺 序 工 作 原 理 示 例 本 属 性 优 先 顺 序 示 例 使 用 props.conf props.conf 文 件 与 众 不 同, 因 为 其 上 下 文 可 以 是 全 局, 也 可 以 是 应 用 或 用 户, 具 体 取 决 于 Splunk 评 估 文 件 的 时 机 Splunk 同 时 在 索 引 时 间 ( 全 局 ) 和 搜 索 时 间 ( 应 用 或 用 户 ) 评 估 props.conf 假 设 $SPLUNK_HOME/etc/system/local/props.conf 包 含 以 下 段 落 : [source::/opt/locke/logs/error*] 25

sourcetype = fatal-error 而 $SPLUNK_HOME/etc/apps/t2rss/local/props.conf 包 含 同 一 段 落 的 另 一 个 版 本 : [source::/opt/locke/logs/error*] sourcetype = t2rss-error SHOULD_LINEMERGE = True BREAK_ONLY_BEFORE_DATE = True 始 终 应 用 t2rss 中 的 行 合 并 属 性 分 配, 因 为 这 些 属 性 分 配 仅 出 现 发 生 在 该 文 件 的 该 版 本 中 但 是 与 sourcetype 属 性 有 冲 突 在 /system/local 版 本 中,sourcetype 的 值 为 "fatal-error" 在 /apps/t2rss/local 版 本 中, 属 性 值 为 "t2rsserror" 由 于 这 是 在 索 引 时 间 应 用 的 sourcetype 分 配,Splunk 使 用 全 局 上 下 文 确 定 目 录 优 先 顺 序 在 全 局 上 下 文 中,Splunk 将 最 高 优 先 级 指 定 给 system/local 中 的 属 性 分 配 因 此,sourcetype 属 性 指 定 值 "fatal-error" 该 文 件 最 终 的 内 部 合 并 版 本 如 下 : [source::/opt/locke/logs/error*] sourcetype = fatal-error SHOULD_LINEMERGE = True BREAK_ONLY_BEFORE_DATE = True 配 置 文 件 及 其 上 下 文 列 表 如 上 所 述,Splunk 根 据 配 置 文 件 所 运 行 的 上 下 文 ( 全 局 或 应 用 或 用 户 ) 来 确 定 文 件 的 评 估 方 式 通 常 而 言, 影 响 数 据 输 入 建 立 索 引 或 部 署 活 动 的 文 件 为 全 局 ; 影 响 搜 索 活 动 的 文 件 通 常 有 应 用 或 用 户 上 下 文 props.conf 和 transforms.conf 文 件 在 应 用 或 用 户 或 全 局 上 下 文 中 都 可 以 评 估, 具 体 情 况 取 决 于 Splunk 是 在 索 引 时 间 还 是 在 搜 索 时 间 使 用 这 两 个 文 件 全 局 配 置 文 件 admon.conf authentication.conf authorize.conf crawl.conf deploymentclient.conf distsearch.conf indexes.conf inputs.conf outputs.conf pdf_server.conf procmonfilters.conf props.conf -- global and app/user context pubsub.conf regmonfilters.conf report_server.conf restmap.conf searchbnf.conf segmenters.conf server.conf serverclass.conf serverclass.seed.xml.conf source-classifier.conf sourcetypes.conf sysmon.conf tenants.conf transforms.conf -- global and app/user context user-seed.conf -- special case: Must be located in /system/default web.conf wmi.conf 应 用 或 用 户 配 置 文 件 26

alert_actions.conf app.conf audit.conf commands.conf eventdiscoverer.conf event_renderers.conf eventtypes.conf fields.conf limits.conf literals.conf macros.conf multikv.conf props.conf -- global and app/user context savedsearches.conf tags.conf times.conf transactiontypes.conf transforms.conf -- global and app/user context user-prefs.conf workflow_actions.conf 配 置 优 先 顺 序 和 其 他 问 题 的 故 障 排 除 Splunk 的 配 置 文 件 系 统 支 持 位 于 许 多 不 同 位 置 的 许 多 重 叠 配 置 文 件 实 现 这 种 程 度 灵 活 性 的 代 价 是 判 定 您 的 Splunk 安 装 中 使 用 哪 个 配 置 选 项 的 哪 个 值 有 时 非 常 复 杂 如 果 您 想 查 找 在 给 定 情 况 下 会 使 用 什 么 配 置 设 置 的 一 些 提 示, 请 阅 读 故 障 排 除 手 册 中 的 使 用 btool 排 除 配 置 故 障 单 个 props.conf 文 件 中 的 属 性 优 先 顺 序 除 了 要 了 解 属 性 优 先 顺 序 在 文 件 之 间 如 何 工 作 之 外, 您 有 时 还 需 要 考 虑 在 单 个 props.conf 文 件 中 的 属 性 优 先 级 影 响 同 一 目 标 的 一 组 段 落 中 的 优 先 顺 序 当 两 个 或 多 个 段 落 指 定 影 响 同 一 项 目 的 行 为 时, 按 段 落 的 ASCII 顺 序 评 估 项 目 例 如, 假 设 您 在 props.conf 中 指 定 以 下 段 落 : [source::.../bar/baz] attr = val1 [source::.../bar/*] attr = val2 将 使 用 attr 在 第 二 个 段 落 中 的 值, 因 为 该 值 的 路 径 在 ASCII 顺 序 中 较 高, 因 此 相 对 来 说 优 先 覆 盖 props.conf 中 的 默 认 属 性 优 先 级 有 方 法 覆 盖 props.conf 中 的 默 认 ASCII 优 先 级 使 用 priority 键 为 给 定 段 落 指 定 较 高 或 较 低 的 优 先 级 例 如, 假 设 有 以 下 来 源 : source::az 和 以 下 模 式 : [source::...a...] sourcetype = a [source::...z...] sourcetype = z 在 本 案 例 中, 默 认 行 为 是 由 模 式 "source::...a..." 提 供 的 设 置 优 先 于 由 "source::...z..." 提 供 的 设 置 因 此,sourcetype 的 值 为 "a" 要 覆 盖 此 默 认 ASCII 顺 序, 使 用 priority 键 : 27

[source::...a...] sourcetype = a priority = 5 [source::...z...] sourcetype = z priority = 10 为 第 二 个 段 落 分 配 更 高 的 优 先 级 导 致 sourcetype 的 值 为 "z" 还 需 要 考 虑 另 一 个 属 性 优 先 顺 序 问 题 默 认 情 况 下, 与 字 符 串 逐 字 匹 配 的 段 落 ( 字 面 匹 配 段 落 ) 优 先 于 正 则 表 达 式 模 式 匹 配 段 落 这 是 由 于 其 priority 键 的 默 认 值 : 0 是 模 式 匹 配 段 落 的 默 认 值 100 是 字 面 匹 配 段 落 的 默 认 值 因 此, 字 面 匹 配 段 落 始 终 优 先 于 模 式 匹 配 段 落, 除 非 通 过 显 式 设 置 priority 键 来 更 改 行 为 您 可 以 使 用 priority 键 来 解 决 相 同 类 型 的 模 式 之 间 的 冲 突, 例 如 sourcetype 模 式 或 host 模 式 但 是,priority 键 不 影 响 规 范 类 型 之 间 的 优 先 顺 序 例 如,source 模 式 优 先 于 host 和 sourcetype 模 式, 而 不 管 priority 键 值 具 有 多 个 属 性 分 配 的 事 件 的 优 先 顺 序 props.conf 文 件 设 置 属 性, 以 按 host source 或 sourcetype( 有 时 还 有 事 件 类 型 ) 处 理 单 个 事 件 因 此, 一 个 事 件 的 默 认 字 段 host source 或 sourcetype 有 可 能 相 同 属 性 设 置 不 同 值 优 先 顺 序 如 下 : source host sourcetype 您 可 能 想 要 覆 盖 默 认 props.conf 设 置 例 如, 假 设 您 要 跟 踪 mylogfile.xml, 默 认 标 记 为 sourcetype = xml_file 此 配 置 只 要 更 改 就 会 重 新 索 引 整 个 文 件, 即 使 您 手 动 指 定 另 一 个 sourcetype, 因 为 property 通 过 source 来 设 置 要 覆 盖 此 设 置, 通 过 source 添 加 显 式 配 置 : [source::/var/log/mylogfile.xml] CHECK_METHOD = endpoint_md5 如 何 复 制 和 编 辑 配 置 文 件 编 辑 配 置 文 件 之 前, 请 确 保 您 熟 悉 以 下 内 容 : 要 了 解 默 认 配 置 文 件 其 所 在 位 置 以 及 您 编 辑 的 配 置 文 件 应 置 于 何 处, 请 参 阅 配 置 文 件 目 录 要 了 解 文 件 结 构 以 及 如 何 设 置 要 编 辑 的 属 性, 请 参 阅 配 置 文 件 结 构 要 了 解 如 何 分 层 放 置 和 组 合 跨 多 个 目 录 的 配 置 文 件, 请 参 阅 配 置 文 件 优 先 顺 序 复 制 默 认 文 件 当 您 决 定 在 文 件 中 自 定 义 属 性 时, 应 在 首 选 目 录 ( 如 $SPLUNK_HOME/etc/system/local) 中 创 建 文 件 的 副 本 请 勿 复 制 默 认 配 置 文 件 的 整 个 内 容, 仅 复 制 要 自 定 义 的 属 性 即 可 这 是 为 了 确 保 对 默 认 值 的 任 何 Splunk 更 新 都 能 正 确 分 布 注 意 : 确 保 在 将 文 件 复 制 到 本 地 目 录 时 为 其 授 予 写 入 权 限 例 如, 假 设 您 要 使 用 自 签 名 SSL 证 书 并 且 需 要 将 路 径 重 定 向 到 server.conf 中 的 新 证 书 您 将 <SSL> 段 落 以 及 其 他 个 段 落 复 制 到 server.conf 的 新 副 本 中, 但 仅 编 辑 SSL 段 落, 其 他 段 落 保 留 其 默 认 值 在 更 高 版 本 中,Splunk 更 改 server.conf 中 的 默 认 端 口 设 置 之 一 ( 即, 您 之 前 复 制 但 未 编 辑 的 段 落 之 一 ) 下 次 升 级 Splunk 时, 具 有 属 性 值 的 server.conf 的 新 版 本 会 覆 盖 默 认 目 录 中 的 server.conf 版 本 然 而, 由 于 Splunk 优 先 考 虑 本 地 目 录 中 的 版 本 的 配 置 设 置, 因 此 写 入 到 默 认 目 录 中 的 新 端 口 不 会 被 应 用 注 意 : 一 些 配 置 文 件 没 有 默 认 版 本 这 些 配 置 文 件 仍 有 您 用 于 创 建 副 本 的.spec 和.example 文 件 清 除 属 性 您 可 以 清 除 任 何 一 个 属 性, 方 法 是 将 属 性 值 设 置 为 空 值 例 如 : forwardedindex.0.whitelist = 28

这 样 可 覆 盖 该 属 性 以 前 保 存 的 所 有 值, 包 括 在 默 认 文 件 中 设 置 的 值, 从 而 使 系 统 认 为 值 已 完 全 取 消 设 置 使 用 注 释 您 可 以 在 配 置 文 件 中 插 入 注 释 方 法 是 使 用 符 号 : This stanza forwards some log files. [monitor:///var/log] 重 要 提 示 : 从 左 侧 开 始 注 释 不 要 将 注 释 与 段 落 或 属 性 放 在 同 一 行 上 : [monitor:///var/log] This is a really bad place to put your comment. 例 如, 对 于 以 下 属 性 a_setting = 5 5 is the best number 这 会 将 a_setting 属 性 设 置 为 "5 5 is the best number", 从 而 造 成 意 外 的 结 果 在 Windows 和 其 他 非 UTF-8 操 作 系 统 上 创 建 和 编 辑 配 置 文 件 Splunk 平 台 使 用 ASCII/UTF-8 编 码 的 配 置 文 件 对 于 UTF-8 不 是 默 认 字 符 集 的 操 作 系 统 ( 例 如 Windows), 要 配 置 文 本 编 辑 器 以 写 入 该 格 式 的 文 件 更 改 配 置 文 件 之 后 何 时 重 新 启 动 Splunk Enterprise 本 页 面 尚 在 制 作 中 ; 预 计 近 期 更 新 频 繁 通 过 配 置 文 件 对 Splunk Enterprise 进 行 更 改 时, 您 可 能 需 要 重 新 启 动 Splunk Enterprise 以 使 更 改 生 效 注 意 : 在 Splunk Web 中 进 行 的 更 改 需 要 重 新 启 动 的 可 能 性 很 小 这 是 因 为 Splunk Web 自 动 更 新 基 本 配 置 文 件 并 将 更 改 通 知 运 行 中 的 Splunk 实 例 (splunkd) 本 主 题 提 供 指 导 原 则 来 帮 助 您 确 定 是 否 在 更 改 后 重 新 启 动 更 改 是 否 需 要 重 新 启 动 取 决 于 多 个 因 素, 本 主 题 并 不 提 供 明 确 结 论 始 终 查 阅 配 置 文 件 或 其 参 考 主 题, 了 解 特 定 更 改 是 否 需 要 重 新 启 动 有 关 配 置 文 件 的 完 整 列 表 以 及 每 个 文 件 所 涵 盖 内 容 的 概 述, 请 参 阅 本 手 册 中 的 配 置 文 件 列 表 重 新 启 动 转 发 器 的 时 间 如 果 您 更 改 重 型 转 发 器 的 配 置 文 件, 则 必 须 重 新 启 动 转 发 器, 但 不 必 重 新 启 动 接 收 索 引 器 如 果 更 改 是 已 经 配 置 为 更 改 后 重 新 启 动 的 已 部 署 应 用 的 一 部 分, 转 发 器 则 会 自 动 重 新 启 动 何 时 重 新 启 动 Splunk Web 必 须 重 新 启 动 Splunk Web, 才 能 对 Splunk Web 访 问 启 用 或 禁 用 SSL 重 新 启 动 splunkd 的 时 间 正 常 情 况 下, 修 改 下 列 项 的 所 有 操 作 均 需 重 新 启 动 : 影 响 索 引 器 和 索 引 建 立 行 为 的 设 置 和 属 性 影 响 用 户 和 角 色 的 设 置 和 属 性 影 响 Splunk 核 心 配 置 的 设 置 和 属 性 索 引 更 改 注 意 : 通 过 UI 和 CLI 进 行 影 响 索 引 建 立 的 设 置 时, 这 些 设 置 不 需 要 重 新 启 动 而 且 会 立 即 生 效 索 引 时 间 字 段 提 取 时 间 戳 属 性 用 户 和 角 色 更 改 在 配 置 文 件 中 进 行 的 任 何 用 户 和 角 色 更 改 均 需 重 新 启 动, 包 括 : 29

LDAP 配 置 ( 如 果 您 在 Splunk Web 中 进 行 这 些 更 改, 则 可 重 新 加 载 更 改 而 不 必 重 新 启 动 ) 密 码 更 改 角 色 功 能 更 改 Splunk Enterprise 本 机 验 证 更 改, 如 用 户 到 角 色 的 映 射 系 统 更 改 影 响 系 统 设 置 或 服 务 器 状 态 的 所 有 操 作 均 需 重 新 启 动 许 可 授 权 更 改 Web 服 务 器 配 置 更 新 常 规 索 引 器 设 置 ( 最 小 可 用 磁 盘 空 间 默 认 服 务 器 名 称 等 ) 更 改 常 规 设 置 ( 如 端 口 设 置 ) 更 改 更 改 转 发 器 的 输 出 设 置 更 改 splunk 服 务 器 操 作 系 统 中 的 时 区 (Splunk Enterprise 在 启 动 时 从 基 本 操 作 系 统 检 索 其 本 地 时 区 ) 创 建 搜 索 头 池 安 装 某 些 应 用 可 能 需 要 重 新 启 动 查 阅 您 要 安 装 的 每 个 应 用 的 文 档 不 需 要 重 新 启 动 的 Splunk Enterprise 更 改 应 用 于 搜 索 时 间 处 理 的 设 置 会 立 即 生 效, 而 且 不 需 要 重 新 启 动 这 是 因 为 搜 索 在 重 新 加 载 配 置 的 单 独 进 程 中 运 行 例 如, 每 次 搜 索 都 会 重 新 读 取 查 找 表 标 记 和 事 件 类 型 这 包 括 ( 但 不 限 于 ) 下 列 更 改 : 查 找 表 字 段 提 取 知 识 对 象 标 记 事 件 类 型 包 含 搜 索 时 间 操 作 的 文 件 包 括 ( 但 不 限 于 ): macros.conf props.conf 在 搜 索 时 会 重 新 读 取 对 搜 索 时 间 字 段 提 取 的 更 改 transforms.conf savedsearches.conf( 如 果 更 改 创 建 了 一 个 端 点, 则 必 须 重 新 启 动 ) 要 查 看 您 的 端 点 类 型, 在 浏 览 器 中 输 入 以 下 链 接 : http://yoursplunkserver:8000/en-gb/debug/refresh 如 何 重 新 加 载 文 件 要 重 新 加 载 transforms.conf: http://yoursplunkserver:8000/en-us/debug/refresh?entity=admin/transforms-lookup for new lookup file definitions that reside within transforms.conf http://yoursplunkserver:8000/en-us/debug/refresh?entity=admin/transforms-extract for new field transforms/extractions that reside within transforms.conf 要 重 新 加 载 authentication.conf, 使 用 Splunk Web 转 到 设 置 > 访 问 控 制 > 验 证 方 法, 然 后 单 击 重 新 加 载 验 证 配 置 按 钮 此 操 作 刷 新 验 证 缓 存, 但 不 断 开 当 前 用 户 连 接 索 引 器 群 集 重 新 启 动 要 了 解 索 引 器 群 集 重 新 启 动 使 用 滚 动 重 新 启 动 的 方 法 和 时 间 等 相 关 信 息, 请 参 阅 管 理 索 引 器 和 索 引 器 群 集 中 的 何 时 以 及 如 何 重 新 启 动 群 集 使 用 案 例 在 复 杂 情 况 下, 重 新 启 动 Splunk Enterprise 最 为 保 险 下 面 是 一 些 方 案 的 示 例, 其 中 您 能 够 ( 或 不 能 够 ) 避 免 重 新 启 动 方 案 : 在 props.conf 和 search.conf 中 编 辑 搜 索 或 索 引 时 间 转 换 是 否 重 新 启 动 取 决 于 更 改 是 否 与 索 引 时 间 设 置 或 搜 索 时 间 设 置 有 关 索 引 时 间 设 置 包 括 : 30

换 行 时 间 戳 分 析 搜 索 时 间 设 置 主 要 涉 及 字 段 提 取 和 创 建, 不 需 要 重 新 启 动 任 何 索 引 时 间 的 更 改 仍 需 要 重 新 启 动 因 此, 例 如 : 1. 如 果 props.conf 和 tranforms.conf 被 配 置 为 在 索 引 上 进 行 搜 索 时 间 转 换, 则 您 无 需 做 任 何 操 作 对 于 任 何 搜 索 时 间 的 更 改, 每 次 您 运 行 搜 索 时 Splunk 会 重 新 加 载 props.conf 和 transforms.conf 2. 如 果 在 重 型 转 发 器 上 搜 索 时 间 发 生 更 改, 您 必 须 重 新 启 动 该 转 发 器 如 果 更 改 是 已 部 署 应 用 ( 配 置 为 更 改 后 重 新 启 动 ) 的 一 部 分, 则 其 会 自 动 重 新 启 动 3. 如 果 它 是 索 引 器 上 的 索 引 时 间 转 换, 您 必 须 重 新 启 动 索 引 器 以 添 加 更 改 方 案 : 编 辑 savedsearches.conf 和 新 搜 索 以 创 建 REST 端 点 您 必 须 重 新 启 动 索 引 器 以 集 成 新 端 点 方 案 : 构 建 或 修 改 TA 或 应 用 如 果 构 建 的 TA 或 应 用 会 影 响 transforms.conf props.conf 或 查 找, 在 使 用 新 的 更 改 在 Splunk Web 上 进 行 搜 索 之 前, 您 必 须 重 新 启 动 Splunk Enterprise 配 置 文 件 列 表 下 面 是 与 每 个 配 置 文 件 相 关 联 可 用 的 一 些 规 范 和 示 例 文 件 的 列 表 一 些 配 置 文 件 没 有 规 范 或 示 例 文 件 ; 在 编 辑 这 些 没 有 随 附 规 范 和 示 例 文 件 的 配 置 文 件 之 前, 请 联 系 支 持 部 门 重 要 提 示 : 不 要 在 $SPLUNK_HOME/etc/system/default/ 中 编 辑 任 何 配 置 文 件 的 默 认 副 本 在 $SPLUNK_HOME/etc/system/local/ 或 $SPLUNK_HOME/etc/apps/<app_name>/local 中 创 建 并 编 辑 文 件 的 副 本 文 件 用 途 alert_actions.conf 创 建 告 警 app.conf 配 置 自 定 义 应 用 audit.conf 配 置 审 计 和 事 件 哈 希 本 功 能 在 该 版 本 中 不 可 用 authentication.conf 在 Splunk 的 内 置 验 证 或 LDAP 之 间 切 换, 以 及 配 置 LDAP authorize.conf 配 置 角 色, 包 括 具 体 访 问 控 制 collections.conf 为 应 用 配 置 KV 存 储 集 合 commands.conf 将 搜 索 命 令 连 接 到 自 定 义 搜 索 脚 本 crawl.conf 配 置 crawl 查 找 新 数 据 源 datamodels.conf 用 于 配 置 数 据 模 型 的 属 性 / 值 对 default.meta.conf 创 建 应 用 特 定 的 default.meta 文 件 时 使 用 的 模 板 文 件 deploymentclient.conf 指 定 部 署 服 务 器 的 客 户 端 的 行 为 distsearch.conf 指 定 分 布 式 搜 索 的 行 为 eventdiscoverer.conf 设 置 类 型 学 习 程 序 ( 事 件 发 现 ) 的 忽 略 条 件 event_renderers.conf 配 置 event-rendering 属 性 eventtypes.conf 创 建 事 件 类 型 定 义 fields.conf 创 建 多 值 字 段, 并 为 索 引 字 段 添 加 搜 索 功 能 indexes.conf 管 理 和 配 置 索 引 设 置 inputs.conf 设 置 数 据 输 入 instance.cfg.conf 指 定 和 管 理 Splunk 特 定 实 例 的 设 置 这 非 常 方 便, 例 如, 在 标 识 转 发 器 进 行 内 部 搜 索 时 limits.conf 为 搜 索 命 令 设 置 各 种 限 制 ( 例 如 最 大 结 果 大 小 或 并 发 实 时 搜 索 ) 31

literals.conf 自 定 义 在 Splunk Web 中 显 示 的 文 本, 例 如 搜 索 错 误 字 符 串 macros.conf 定 义 和 使 用 搜 索 宏 multikv.conf 为 类 似 表 的 事 件 (ps netstat ls) 配 置 提 取 规 则 outputs.conf 设 置 转 发 行 为 pdf_server.conf 配 置 Splunk PDF 服 务 器 此 PDF 服 务 器 应 用 在 Splunk Enterprise 6.0 中 已 弃 用 此 功 能 在 Splunk Enterprise 6.2 中 已 删 除 procmon-filters.conf 监 视 Windows 进 程 数 据 props.conf 设 置 索 引 属 性 配 置, 包 括 时 区 偏 移 自 定 义 来 源 类 型 规 则 和 模 式 冲 突 优 先 级 同 时, 还 会 将 转 换 映 射 到 事 件 属 性 pubsub.conf 定 义 部 署 服 务 器 的 自 定 义 客 户 端 restmap.conf 创 建 自 定 义 REST 端 点 savedsearches.conf 定 义 普 通 报 表 计 划 的 报 表 和 告 警 searchbnf.conf 配 置 搜 索 助 理 segmenters.conf 配 置 分 段 server.conf 为 Splunk 的 后 端 (Splunkd 与 Splunk Web 之 间 的 通 信 ) 启 用 SSL, 并 指 定 证 书 位 置 serverclass.conf 定 义 与 部 署 服 务 器 一 起 使 用 的 部 署 服 务 器 类 serverclass.seed.xml.conf 配 置 如 何 在 启 动 时 为 装 有 应 用 的 部 署 客 户 端 播 种 source-classifier.conf 创 建 来 源 类 型 ( 例 如 敏 感 数 据 ) 时 的 忽 略 条 件 sourcetypes.conf 用 于 存 储 来 源 类 型 学 习 规 则 的 机 器 生 成 的 文 件 tags.conf 配 置 字 段 的 标 记 tenants.conf 配 置 多 租 户 环 境 中 的 部 署 ( 已 弃 用 ) times.conf 定 义 在 搜 索 应 用 中 使 用 的 自 定 义 时 间 范 围 transactiontypes.conf 为 交 易 搜 索 添 加 附 加 交 易 类 型 transforms.conf 配 置 对 数 据 导 入 执 行 的 正 则 表 达 式 转 换 在 带 有 props.conf 的 串 联 中 使 用 ui-prefs.conf 为 视 图 更 改 UI 首 选 项 包 括 为 时 间 范 围 挑 选 器 更 改 默 认 最 早 及 最 晚 数 值 user-seed.conf 设 置 默 认 用 户 和 密 码 viewstates.conf 使 用 此 文 件 在 Splunk 中 设 置 IU 视 图 ( 如 图 表 ) web.conf 配 置 Splunk Web, 启 用 HTTPS wmi.conf 设 置 Windows management instrumentation (WMI) 输 入 workflow_actions.conf 配 置 工 作 流 动 作 配 置 参 数 和 数 据 管 道 数 据 在 从 原 始 输 入 转 换 为 可 搜 索 事 件 过 程 中 经 历 了 个 阶 段 此 过 程 称 为 数 据 管 道, 由 以 下 四 个 阶 段 构 成 : 输 入 分 析 索 引 搜 索 数 据 管 道 的 每 个 阶 段 依 赖 于 不 同 的 配 置 文 件 参 数 知 道 某 一 特 定 参 数 作 用 于 哪 个 阶 段 可 让 您 确 定 在 Splunk 部 署 拓 扑 中 需 要 设 置 该 参 数 的 位 置 数 据 管 道 的 外 观 32

下 图 概 述 了 数 据 管 道 : 在 分 布 式 部 署 手 册 中 的 数 据 如 何 通 过 Splunk: 数 据 管 道 中 详 细 介 绍 了 数 据 管 道 Splunk Enterprise 组 件 如 何 与 管 道 的 阶 段 相 关 联 一 个 或 多 个 Splunk Enterprise 组 件 可 以 执 行 每 个 管 道 阶 段 例 如, 通 用 转 发 器 重 型 转 发 器 或 索 引 器 可 以 执 行 输 入 阶 段 数 据 仅 在 每 个 阶 段 经 历 一 次, 因 此, 每 个 配 置 仅 属 于 一 个 组 件, 特 别 是 处 理 该 阶 段 的 部 署 中 的 第 一 个 组 件 例 如, 假 定 您 通 过 一 组 通 用 转 发 器 让 数 据 进 入 到 系 统, 通 用 转 发 器 转 发 数 据 到 中 间 重 型 转 发 器, 然 后 重 型 转 发 器 又 向 上 转 发 数 据 到 索 引 器 在 这 种 情 况 下, 该 数 据 的 输 入 阶 段 发 生 在 通 用 转 发 器 中, 且 分 析 阶 段 发 生 在 重 型 转 发 器 中 数 据 管 道 阶 段 可 以 执 行 该 角 色 的 组 件 输 入 分 析 索 引 搜 索 索 引 器 通 用 转 发 器 重 型 转 发 器 索 引 器 重 型 转 发 器 轻 型 / 通 用 转 发 器 ( 仅 与 INDEXED_EXTRACTIONS 属 性 结 合 使 用 ) 索 引 器 索 引 器 搜 索 头 33

在 哪 里 配 置 参 数 取 决 于 特 定 部 署 中 的 组 件 例 如, 在 大 多 数 情 况 中, 您 可 以 在 索 引 器 中 设 置 分 析 参 数 但 是, 如 何 您 让 重 型 转 发 器 向 索 引 器 提 供 数 据, 则 在 重 型 转 发 器 中 设 置 分 析 参 数 同 样, 您 在 搜 索 头 ( 如 果 有 ) 中 设 置 搜 索 参 数 但 是, 如 果 您 没 有 部 署 专 用 搜 索 头, 则 在 索 引 器 中 设 置 搜 索 参 数 有 关 更 多 信 息, 请 参 阅 分 布 式 部 署 手 册 中 的 组 件 和 数 据 管 道 配 置 参 数 如 何 与 管 道 的 阶 段 相 关 联 下 面 的 配 置 参 数 与 使 用 这 些 参 数 的 管 道 阶 段 的 对 应 表 并 不 详 尽 结 合 此 信 息 以 及 您 对 特 定 部 署 中 哪 个 Splunk 组 件 执 行 各 个 阶 段 的 了 解, 您 可 以 确 定 在 何 处 配 置 每 项 设 置 例 如, 如 果 您 要 使 用 通 用 转 发 器 来 获 取 输 入, 则 需 要 对 转 发 器 配 置 inputs.conf 参 数 但 是, 如 果 您 的 索 引 器 直 接 获 取 络 输 入, 则 需 要 对 索 引 器 配 置 这 些 络 相 关 的 inputs.conf 参 数 输 入 阶 段 分 析 阶 段 索 引 阶 段 搜 索 阶 段 inputs.conf props.conf CHARSET NO_BINARY_CHECK CHECK_METHOD sourcetype wmi.conf regmon-filters.conf props.conf LINE_BREAKER SHOULD_LINEMERGE BREAK_ONLY_BEFORE_DATE 和 所 有 其 他 行 合 并 设 置 TZ DATETIME_CONFIG TIME_FORMAT TIME_PREFIX 和 所 有 其 他 时 间 提 取 设 置 和 规 则 TRANSFORMS*, 其 中 包 括 按 事 件 队 列 筛 选 按 事 件 索 引 分 配 按 事 件 路 由 按 定 义 的 顺 序 应 用 SEDCMD* MORE_THAN* LESS_THAN* INDEXED_EXTRACTIONS transforms.conf 由 props.conf 中 的 TRANSFORMS* 子 句 引 用 的 段 落 LOOKAHEAD DEST_KEY WRITE_META DEFAULT_VALUE REPEAT_MATCH datetime.xml props.conf SEGMENTATION* indexes.conf segmenters.conf props.conf EXTRACT* REPORT* LOOKUP* KV_MODE FIELDALIAS* rename transforms.conf 由 props.conf 中 的 REPORT* 子 句 引 用 的 段 落 filename external_cmd 和 所 有 其 他 查 找 相 关 设 置 FIELDS DELIMS MV_ADD 查 找 文 件 夹 中 的 查 找 文 件 bin 文 件 夹 中 的 搜 索 和 查 找 脚 本 搜 索 命 令 和 查 找 脚 本 savedsearches.conf eventtypes.conf tags.conf commands.conf alert_actions.conf 34

macros.conf fields.conf transactiontypes.conf multikv.conf 其 他 配 置 设 置 有 一 些 设 置 在 分 布 式 Splunk 环 境 中 无 法 正 常 工 作 有 可 能 出 现 异 常, 其 中 包 括 : props.conf CHECK_FOR_HEADER LEARN_MODEL maxdist 这 些 设 置 是 在 分 析 阶 段 创 建 的, 但 需 要 将 生 成 的 配 置 移 动 到 搜 索 阶 段 配 置 位 置 备 份 配 置 信 息 Splunk 的 所 有 配 置 信 息 都 包 含 在 配 置 文 件 中 要 备 份 这 组 配 置 文 件, 可 以 创 建 $SPLUNK_HOME/etc/ 的 归 档 或 副 本 此 目 录 及 其 子 目 录 包 含 Splunk 安 装 的 所 有 默 认 和 自 定 义 设 置 以 及 所 有 应 用, 包 括 保 存 的 搜 索 用 户 帐 户 标 记 自 定 义 来 源 类 型 名 称 和 其 他 配 置 信 息 将 此 目 录 复 制 到 要 恢 复 的 新 Splunk 实 例 执 行 此 操 作 时 不 需 要 停 止 Splunk 有 关 配 置 文 件 的 更 多 信 息, 请 阅 读 关 于 配 置 文 件 备 份 群 集 主 节 点 如 果 您 正 在 使 用 索 引 复 制, 则 可 以 备 份 主 节 点 的 静 态 配 置 这 是 配 置 备 用 主 节 点 ( 可 以 在 主 要 主 节 点 发 生 故 障 时 进 行 接 管 ) 时 的 特 定 使 用 有 关 详 细 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 配 置 主 节 点 使 用 命 令 行 界 面 (CLI) 管 理 Splunk Enterprise 关 于 CLI 您 可 以 使 用 Splunk Enterprise 的 命 令 行 界 面 (CLI) 来 在 您 的 Splunk 服 务 器 上 监 视 配 置 和 执 行 搜 索 该 产 品 提 供 有 CLI 帮 助 说 明, 您 可 以 通 过 终 端 或 shell 界 面 进 行 访 问 本 主 题 会 介 绍 如 何 访 问 这 些 信 息 以 及 哪 些 命 令 可 供 使 用 如 何 访 问 CLI CLI 位 于 $SPLUNK_HOME/bin/splunk 中 要 访 问 Splunk CLI, 您 需 要 具 备 : Splunk 服 务 器 的 shell 访 问 权 限 ; 或 对 远 程 Splunk 服 务 器 相 应 端 口 的 访 问 权 限 如 果 您 具 有 管 理 员 或 root 权 限, 您 可 以 将 您 的 Splunk 安 装 的 顶 级 目 录 $SPLUNK_HOME/bin 添 加 到 shell 路 径 中, 以 简 化 CLI 访 问 此 示 例 适 用 于 在 默 认 位 置 安 装 Splunk 的 Linux/BSD/Solaris 用 户 : export SPLUNK_HOME=/opt/splunk export PATH=$SPLUNK_HOME/bin:$PATH 此 示 例 适 用 于 在 默 认 位 置 安 装 Splunk 的 Mac 用 户 : export SPLUNK_HOME=/Applications/Splunk export PATH=$SPLUNK_HOME/bin:$PATH 现 在, 您 可 以 使 用 如 下 方 式 来 调 用 CLI 命 令 :./splunk <command> 当 在 CLI 会 话 中 操 作 时, 要 设 置 $SPLUNK_HOME 环 境 变 量 : 在 *nix 中 :source /opt/splunk/bin/setsplunkenv 35

在 Windows 中 :splunk.exe envvars > setsplunkenv.bat & setsplunkenv.bat CLI 帮 助 文 档 如 果 您 具 有 管 理 员 权 限, 您 不 但 可 以 使 用 CLI 来 执 行 搜 索, 还 可 以 使 用 它 来 配 置 和 监 视 您 的 Splunk 服 务 器 ( 或 服 务 器 ) 用 于 配 置 和 监 视 Splunk 的 CLI 命 令 并 不 是 搜 索 命 令 搜 索 命 令 是 search 和 dispatch CLI 命 令 的 参 数 某 些 命 令 需 要 您 使 用 用 户 名 和 密 码 进 行 验 证, 或 者 指 定 目 标 Splunk 服 务 器 您 可 以 使 用 以 下 命 令 查 找 CLI 的 帮 助 信 息 :./splunk help 有 关 如 何 访 问 特 定 CLI 命 令 或 任 务 帮 助 的 更 多 信 息, 请 参 阅 本 手 册 中 的 获 取 CLI 相 关 帮 助 和 CLI 管 理 命 令 Mac 用 户 注 意 事 项 Mac OS X 需 要 您 具 有 超 级 用 户 权 限 以 运 行 那 些 访 问 系 统 文 件 或 目 录 的 任 何 命 令 请 使 用 sudo 或 "su -"( 在 新 shell 中 作 为 root) 来 运 行 CLI 命 令 建 议 使 用 sudo ( 用 户 "root" 默 认 情 况 下 未 启 用, 但 任 何 管 理 员 用 户 都 可 以 使 用 sudo ) 在 Windows 上 使 用 CLI 要 在 Windows 上 访 问 并 使 用 CLI 命 令, 首 先 应 以 管 理 员 身 份 运 行 cmd.exe 同 样, 如 果 您 正 在 使 用 Windows,Splunk 无 需 "./" 即 可 运 行 CLI 命 令 问 答 有 什 么 问 题 吗? 请 访 问 Splunk Answers 以 查 看 在 Splunk 社 区 中 围 绕 使 用 CLI 有 哪 些 问 题 和 解 答 获 取 CLI 相 关 帮 助 本 主 题 介 绍 如 何 访 问 Splunk 内 置 的 CLI 帮 助 参 考, 其 中 包 含 有 关 CLI 命 令 以 及 如 何 使 用 它 们 的 信 息 本 主 题 还 简 要 介 绍 了 通 用 参 数, 这 些 参 数 可 以 用 于 任 何 CLI 命 令 访 问 CLI 帮 助 参 考 如 果 您 需 要 查 找 某 个 CLI 命 令 或 其 语 法 信 息, 可 使 用 Splunk 内 置 的 CLI 帮 助 参 考 首 先, 您 可 以 使 用 help 命 令 来 访 问 默 认 的 帮 助 信 息 :./splunk help 此 命 令 将 返 回 一 个 对 象 的 列 表, 以 帮 助 您 访 问 更 多 特 定 的 CLI 帮 助 主 题, 例 如, 管 理 命 令 群 集 转 发 许 可 授 权 搜 索 等 通 用 参 数 某 些 命 令 需 要 您 使 用 用 户 名 和 密 码 进 行 验 证, 或 者 指 定 目 标 主 机 或 应 用 对 于 这 些 命 令, 您 可 以 使 用 以 下 通 用 参 数 之 一 :auth app 或 uri./splunk [command] [object] [-parameter <value> <value>]... [-app] [-owner] [-uri] [-auth] 参 数 描 述 app 指 定 要 运 行 命 令 的 应 用 或 命 名 空 间 ; 对 于 搜 索, 默 认 为 搜 索 应 用 auth 指 定 登 录 凭 据 来 执 行 要 求 登 录 时 所 需 的 命 令 owner 指 定 与 对 象 关 联 的 owner/user 上 下 文 ; 如 果 未 指 定, 则 默 认 为 当 前 登 录 的 用 户 uri 在 任 何 指 定 的 ( 远 程 )Splunk 服 务 器 上 执 行 命 令 app 在 CLI 中,app 是 一 个 适 用 于 许 多 命 令 的 对 象, 例 如 create app 或 enable app 不 过, 如 果 您 希 望 对 特 定 应 用 运 行 该 命 令, 您 也 可 以 将 其 作 为 参 数 添 加 到 某 个 CLI 命 令 中 语 法 : 36

./splunk command object [-parameter value]... -app appname 例 如, 当 您 在 CLI 中 运 行 搜 索 时, 则 默 认 为 搜 索 应 用 如 果 想 要 在 另 一 应 用 中 运 行 搜 索 :./splunk search "eventype=error stats count by source" -deatach f -preview t -app unix auth 如 果 CLI 命 令 要 求 验 证,Splunk 将 提 示 您 提 供 用 户 名 和 密 码 您 还 可 以 使 用 -auth 标 记 来 与 命 令 一 起 传 递 这 些 信 息 当 您 需 要 运 行 某 个 要 求 不 同 于 当 前 登 录 用 户 的 执 行 权 限 的 命 令 时,auth 参 数 也 非 常 有 用 注 意 :auth 必 须 作 为 在 CLI 命 令 的 参 数 中 最 后 指 定 的 参 数 语 法 :./splunk command object [-parameter value]... -auth username:password uri 如 果 您 要 在 远 程 Splunk 服 务 器 上 运 行 命 令, 可 使 用 -uri 标 记 来 指 定 目 标 主 机 语 法 :./splunk command object [-parameter value]... -uri specified-server 通 过 以 下 格 式 来 指 定 目 标 Splunk 服 务 器 : [http https]://name_of_server:management_port 可 以 为 name_of_server 指 定 IP 地 址 支 持 IPv4 和 IPv6 格 式 ; 例 如,specified-server 可 以 使 用 :127.0.0.1:80 或 "[2001:db8::1]:80" 默 认 情 况 下,splunkd 仅 在 IPv4 上 侦 听 要 启 用 IPv6 支 持, 请 参 阅 配 置 Splunk 以 使 用 IPv6 中 的 说 明 示 例 : 以 下 示 例 从 远 程 "splunkserver" 的 端 口 8089 返 回 搜 索 结 果./splunk search "host=fflanda error 404 *.gif" -auth admin -uri https://splunkserver:8089 有 关 您 可 以 在 远 程 服 务 器 上 运 行 的 CLI 命 令 的 更 多 信 息, 请 参 阅 本 章 中 的 下 一 个 主 题 有 用 的 帮 助 主 题 在 运 行 默 认 的 Splunk CLI 帮 助 时, 您 会 看 到 列 出 的 以 下 对 象 CLI 管 理 命 令 可 以 使 用 CLI 执 行 各 种 管 理 功 能, 例 如, 添 加 或 编 辑 输 入 更 新 配 置 设 置 和 搜 索 如 果 想 要 查 看 CLI 管 理 命 令 类 型 的 列 表, 请 键 入 :./splunk help commands 这 些 命 令 将 在 本 手 册 下 一 个 主 题 CLI 管 理 命 令 中 进 行 更 详 细 的 介 绍 群 集 的 CLI 帮 助 索 引 复 制 ( 也 称 为 群 集 ) 是 一 项 由 索 引 器 群 集 组 成 的 Splunk 功 能, 这 些 索 引 器 已 配 置 为 复 制 数 据 以 实 现 若 干 目 标 : 数 据 可 用 性 数 据 保 真 度 灾 难 容 错 和 获 得 改 进 的 搜 索 性 能 您 可 以 使 用 CLI 来 查 看 和 编 辑 群 集 主 节 点 或 群 集 对 等 节 点 上 的 群 集 配 置 要 获 得 与 群 集 相 关 的 命 令 和 参 数 的 列 表, 请 键 入 :./splunk help clustering 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 使 用 CLI 配 置 群 集 Splunk 控 制 的 CLI 帮 助 37

可 使 用 CLI 来 启 动 停 止 和 重 新 启 动 Splunk 服 务 器 (splunkd) 和 web (splunkweb) 进 程, 或 者 检 查 相 关 进 程 是 否 正 在 运 行 要 获 得 控 制 的 列 表, 请 键 入 :./splunk help controls 有 关 更 多 信 息, 请 参 阅 管 理 员 手 册 中 的 启 动 和 停 止 Splunk 数 据 管 理 的 CLI 帮 助 向 Splunk 添 加 数 据 时,Splunk 将 对 数 据 进 行 处 理 并 将 其 存 储 在 索 引 中 默 认 情 况 下, 您 提 供 给 Splunk 的 数 据 会 存 储 在 main 索 引 中, 但 您 可 以 使 用 CLI 为 Splunk 创 建 和 指 定 其 他 索 引, 以 用 于 其 他 数 据 导 入 要 查 看 用 于 管 理 索 引 和 数 据 存 储 区 的 对 象 和 命 令 的 列 表, 请 键 入 :./splunk help datastore./splunk help index 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 群 集 手 册 中 的 关 于 管 理 索 引 设 置 多 个 索 引 和 从 Splunk 删 除 索 引 和 数 据 分 布 式 搜 索 部 署 的 CLI 帮 助 可 使 用 CLI 查 看 和 管 理 分 布 式 搜 索 配 置 要 获 得 对 象 和 命 令 的 列 表, 请 键 入 :./splunk help distributed 有 关 分 布 式 搜 索 的 信 息, 请 阅 读 分 布 式 搜 索 手 册 中 的 关 于 分 布 式 搜 索 转 发 和 接 收 的 CLI 帮 助 Splunk 部 署 可 包 括 数 十 个 或 数 百 个 将 数 据 转 发 到 一 个 或 多 个 接 收 器 的 转 发 器 可 使 用 CLI 查 看 和 管 理 数 据 转 发 配 置 要 获 得 转 发 对 象 和 命 令 的 列 表, 请 键 入 :./splunk help forwarding 有 关 更 多 信 息, 请 参 阅 转 发 数 据 手 册 中 的 关 于 转 发 和 接 收 搜 索 和 实 时 搜 索 的 CLI 帮 助 您 还 可 以 使 用 CLI 来 运 行 历 史 搜 索 和 实 时 搜 索 可 以 使 用 以 下 命 令 访 问 Splunk 搜 索 和 实 时 搜 索 的 帮 助 页 面 :./splunk help search./splunk help rtsearch 此 外, 还 可 以 使 用 search-commands search-fields 和 search-modifiers 对 象 来 访 问 各 自 的 帮 助 说 明 和 语 法 :./splunk help search-commands./splunk help search-fields./splunk help search-modifiers 注 意 :Splunk CLI 将 空 格 解 释 为 换 行 对 于 包 含 多 个 单 词 的 主 题 名 称, 应 在 单 词 之 间 使 用 短 划 线 要 了 解 有 关 使 用 CLI 搜 索 数 据 的 更 多 信 息, 请 参 阅 搜 索 参 考 手 册 中 的 关 于 CLI 搜 索 和 CLI 搜 索 语 法 以 及 搜 索 手 册 中 的 CLI 中 的 实 时 搜 索 和 报 表 CLI 管 理 命 令 本 主 题 将 介 绍 CLI 管 理 命 令, 也 就 是 用 于 管 理 和 配 置 Splunk 服 务 器 和 分 布 式 部 署 的 命 令 有 关 访 问 CLI 的 信 息 以 及 CLI 帮 助 中 所 含 内 容 的 信 息, 请 参 阅 上 一 主 题 获 取 CLI 相 关 帮 助 如 果 您 要 查 找 如 何 从 CLI 运 行 搜 索 的 详 细 信 息, 请 参 阅 搜 索 参 考 手 册 中 的 关 于 CLI 搜 索 您 的 Splunk 角 色 配 置 决 定 了 您 可 以 执 行 哪 些 操 作 ( 命 令 ) 多 数 操 作 需 要 您 具 备 Splunk 管 理 员 身 份 有 关 设 置 和 管 理 Splunk 用 户 与 角 色 的 更 多 信 息, 请 参 阅 管 理 员 手 册 中 的 关 于 用 户 和 角 色 主 题 Splunk CLI 命 令 语 法 CLI 命 令 的 一 般 语 法 为 :./splunk <command> [<object>] [[-<parameter>] <value>]... 38

请 注 意 以 下 事 项 : 某 些 命 令 不 需 要 对 象 或 参 数 某 些 命 令 具 有 可 由 其 值 单 独 指 定 的 默 认 参 数 命 令 对 象 和 示 例 命 令 是 您 可 以 执 行 的 操 作 您 在 对 象 上 执 行 操 作 命 令 对 象 示 例 add exec, forward-server, index, licenser-pools, licenses, master, monitor, oneshot, saved-search, search-server, tcp, udp, user 1. 向 来 源 /var/log 中 添 加 监 视 目 录 和 文 件 输 入./splunk add monitor /var/log/ 2. 向 实 例 ( 搜 索 头 在 其 间 进 行 搜 索 ) 列 表 中 添 加 另 一 个 主 节 点./splunk add cluster-master https://127.0.0.1:8089 - secret testsecret -multisite false' anonymize 来 源 1. 取 代 位 于 /tmp/messages 的 文 件 中 的 标 识 数 据, 如 用 户 名 和 IP 地 址./splunk anonymize file - source /tmp/messages 2. 使 用 name-terms( 包 含 常 见 英 文 名 列 表 的 文 件 ) 使 Mynames.txt 匿 名./splunk anonymize file - source /tmp/messages - name_terms $SPLUNK_HOME/bin/Mynames.txt apply cluster-bundle 1. 在 对 等 节 点 上 激 活 已 验 证 的 软 件 包./splunk apply clusterbundle 2.Skip-validation 是 一 个 可 选 参 数, 可 配 置 其 来 跳 过 在 主 节 点 和 对 等 节 点 上 的 软 件 包 验 证./splunk apply clusterbundle --skipvalidation</code> clean all, eventdata, globaldata, inputdata, userdata, kvstore 1. 从 Splunk 安 装 中 删 除 数 据 eventdata 指 索 引 为 原 始 日 志 文 件 的 导 出 事 件./splunk clean eventdata 2.globaldata 指 主 机 标 记 和 来 源 类 型 别 名 39./splunk clean globaldata

cmd btool, classify, locktest, locktool, parsetest, pcregextest, regextest, searchtest, signtool, walklex 1. 运 行 带 有 各 种 环 境 变 量 设 置 的 splunk btool inputs list 命 令 字 符 串 运 行 splunk envvars 以 查 看 设 置 了 哪 些 环 境 变 量./splunk cmd btool inputs list 2. 显 示 bin 目 录 的 内 容./splunk cmd /bin/ls Create app 1. 根 据 模 板 构 建 mynewapp./splunk create app mynewapp -template sample_app createssl diag disable 无 无 app, boot-start, deploy-client, deploy-server, dist-search, index, listen, local-index, maintenance-mode, shcluster-maintenancemode, perfmon, webserver, web-ssl, wmi 1. 在 群 集 中 对 等 节 点 上 禁 用 维 护 模 式 必 须 在 主 节 点 上 调 用 './splunk disable maintenance-mode' 2. 禁 用 logs1 集 合./splunk disable eventlog logs1 display app, boot-start, deploy-client, deploy-server, dist-search, jobs, listen, local-index 1. 为 所 有 应 用 显 示 状 态 信 息, 如 启 用 / 禁 用./splunk display app 2. 为 unix 应 用 显 示 状 态 信 息./splunk display app unix edit app, cluster-config, shcluster-config, exec, index, licenserlocalslave, licenser-groups, monitor, saved-search, searchserver, tcp, udp, user 1. 编 辑 当 前 的 群 集 配 置./splunk edit cluster-config -mode slave -site site2 2. 编 辑 /var/log 中 的 监 视 目 录 输 入, 并 且 只 从 该 文 件 的 结 尾 读 取./splunk edit monitor /var/log -follow-only true enable app, boot-start, deploy-client, deploy-server, dist-search, index, listen, local-index, maintenance-mode, shcluster-maintenancemode, perfmon, webserver, web-ssl, wmi 1. 在 群 集 中 对 等 节 点 上 设 置 维 护 模 式 必 须 在 主 节 点 上 调 用 './splunk enable maintenance-mode' 40 2. 启 用 col1 集 合

./splunk enable perfmon col1 export eventdata, user data 1. 将 数 据 从 Splunk 服 务 器 导 出 到 /tmp/apache_raw_404_logs 中./splunk export eventdata - index my_apache_data -dir /tmp/apache_raw_404_logs - host localhost -terms "404 html" fsck help repair, scan, clear-bloomfilter 无 import userdata 1. 从 目 录 /tmp/export.dat 导 入 用 户 帐 户 数 据./splunk import userdata - dir /tmp/export.dat install app 1. 从 foo.tar 安 装 应 用 到 本 地 Splunk 服 务 器./splunk install app foo.tar 2. 从 foo.tgz 安 装 应 用 到 本 地 Splunk 服 务 器./splunk install app foo.tgz list cluster-buckets, cluster-config, cluster-generation, cluster-peers, deploy-clients, excess-buckets, exec, forward-server, index, inputstatus, licenser-groups, licenser-localslave, licensermessages, licenser-pools, licenser-slaves, licenser-stacks, licenses, jobs, master-info, monitor, peer-info, peer-buckets, perfmon, saved-search, search-server, tcp, udp, user, wmi 1. 列 出 所 有 活 跃 的 监 视 目 录 和 文 件 输 入 这 显 示 当 前 或 最 近 被 splunkd 监 视 到 发 生 更 改 的 文 件 和 目 录./splunk list monitor 2. 列 出 所 有 堆 叠 间 的 所 有 许 可 证./splunk list licenses login,logout 无 offline 无 1. 用 于 以 不 影 响 现 有 搜 索 的 方 式 关 闭 对 等 节 点 主 节 点 为 数 据 桶 重 新 安 排 主 要 对 等 节 点, 并 在 设 置 了 enforcecounts 标 记 的 情 况 下 修 复 群 集 状 态./splunk offline 2. 因 为 使 用 了 --enforcecounts 标 记, 在 该 对 等 节 点 停 止 之 前 该 群 集 已 完 全 修 复./splunk offline --enforcecounts package app 1. 打 包 stubby 应 用 并 返 回 它 的 uri 41

./splunk package app stubby rebuild refresh reload 无 deploy-clients ad, auth, deploy-server, index, listen, monitor, registry, script, tcp, udp, perfmon, wmi 1. 重 新 加 载 部 署 服 务 器, 整 个 加 载 或 通 过 服 务 器 类 加 载./splunk reload deployserver 2. 重 新 加 载 my_serverclass./splunk reload deployserver -class my_serverclass remove app, cluster-peers, excess-buckets, exec, forward-server, index, jobs, licenser-pools, licenses, monitor, saved-search, searchserver, tcp, udp, user 1. 从 实 例 ( 搜 索 头 在 其 间 进 行 搜 索 ) 列 表 中 移 除 群 集 主 节 点 使 用 testsecret 作 为 secret/pass4symmkey './splunk remove clustermaster https://127.0.0.1:8089 - secret testsecret' 2. 移 除 Unix 应 用./splunk remove app unix rolling-restart rtsearch cluster-peers, shcluster-members app, batch, detach, earliest_time, header, id, index_earliest, index_latest, max_time, maxout, output, preview, rt_id, timeout, uri, wrap 1. 运 行 对 于 各 行 不 会 进 行 自 动 换 行 的 实 时 搜 索./splunk rtsearch 'error' - wrap false 2. 运 行 实 时 搜 索 正 如 使 用 传 统 的 搜 索 命 令 一 样 使 用 rtsearch./splunk rtsearch 'eventtype=webaccess error top clientip' search app, batch, detach, earliest_time, header, id, index_earliest, index_latest, latest_time, max_time, maxout, output, preview, timeout, uri, wrap 1. 使 用 通 配 符 作 为 搜 索 对 象 触 发 异 步 搜 索 并 显 示 搜 索 的 任 务 id 和 ttl./splunk search '*' -detach true 2. 使 用 eventtype=webaccess error 作 为 搜 索 对 象 行 的 长 度 超 过 终 端 宽 度 时 不 进 行 自 动 换 行./splunk search 'eventtype=webaccess error' -wrap 0 set datastore-dir, deploy-poll, default-hostname, default-index, minfreemb, servername, server-type, splunkd-port, web-port, 42 1. 设 置 强 制 索 引 准 备 位

kvstore-port./splunk set indexing-ready 2. 设 置 bologna:1234 作 为 部 署 服 务 器 以 向 其 轮 询 更 新./splunk set deploy-poll bologna:1234 show config, cluster-bundle-status, datastore-dir, deploy-poll, defaulthostname, default-index, jobs, minfreemb, servername, splunkdport, web-port, kvstore-port 1. 显 示 当 前 日 志 级 别./splunk show log-level 2. 显 示 Splunk Enterprise 被 配 置 为 向 哪 个 部 署 服 务 器 轮 询./splunk show deploy-poll spool 无 start,stop,restart splunkd, splunkweb status splunkd, splunkweb validate index 1. 使 用 main 作 为 索 引 来 验 证 验 证 indexes.conf 中 指 定 的 索 引 路 径./splunk validate index main version 无 使 用 CLI 导 出 搜 索 结 果 您 可 以 使 用 CLI 导 出 大 量 的 搜 索 结 果 有 关 如 何 使 用 CLI 导 出 搜 索 结 果 的 信 息, 以 及 有 关 Splunk Enterprise 提 供 的 其 他 导 出 方 法 的 信 息, 请 参 阅 搜 索 手 册 中 的 导 出 搜 索 结 果 CLI 故 障 排 除 Splunk 的 CLI 还 包 含 可 帮 助 对 Splunk 问 题 进 行 故 障 排 除 的 工 具 可 以 使 用 Splunk CLI 命 令 cmd 调 用 这 些 工 具 :./splunk cmd <tool> 要 获 得 CLI 实 用 工 具 的 列 表, 请 参 阅 故 障 排 除 手 册 中 的 提 供 支 持 的 命 令 行 工 具 使 用 CLI 来 管 理 远 程 Splunk 服 务 器 您 可 以 对 任 何 CLI 命 令 使 用 uri 参 数, 以 便 将 此 命 令 发 往 另 一 个 Splunk 服 务 器, 并 在 您 的 本 地 服 务 器 上 查 看 结 果 本 主 题 介 绍 : 有 关 使 用 uri 参 数 的 语 法 您 无 法 远 程 使 用 的 CLI 命 令 注 意 : 从 4.1.4 起, 默 认 情 况 下 禁 止 管 理 员 用 户 的 远 程 CLI 访 问, 除 非 您 已 更 改 了 默 认 密 码 启 用 远 程 访 问 如 果 您 在 使 用 Splunk Free( 无 登 录 凭 据 ), 则 默 认 情 况 下 禁 止 远 程 访 问, 除 非 您 编 辑 $SPLUNK_HOME/etc/system/local/server.conf 并 设 置 以 下 值 : allowremotelogin=always 注 意 :add oneshot 命 令 工 作 于 本 地 服 务 器, 但 不 能 远 程 使 用 有 关 编 辑 配 置 文 件 的 更 多 信 息, 请 参 阅 本 手 册 中 的 关 于 配 置 文 件 43

将 CLI 命 令 发 往 远 程 服 务 器 对 任 何 CLI 命 令 使 用 uri 参 数 的 一 般 语 法 为 :./splunk command object [-parameter <value>]... -uri <specified-server> uri 值 specified-server 的 格 式 为 : [http https]://name_of_server:management_port 此 外,name_of_server 可 以 是 远 程 Splunk 服 务 器 的 完 全 解 析 域 名 或 IP 地 址 重 要 提 示 : 该 uri 值 是 您 在 远 程 Splunk 服 务 器 的 web.conf 定 义 的 mgmthostport 值 有 关 更 多 信 息, 请 参 阅 本 手 册 中 的 web.conf 参 考 有 关 CLI 的 更 多 一 般 信 息, 请 参 阅 本 手 册 中 的 关 于 CLI 和 获 取 CLI 相 关 帮 助 搜 索 远 程 服 务 器 以 下 示 例 从 远 程 "splunkserver" 的 端 口 8089 返 回 搜 索 结 果./splunk search "host=fflanda error 404 *.gif" -uri https://splunkserver:8089 有 关 使 用 CLI 来 执 行 搜 索 语 法 的 详 细 信 息, 请 参 阅 搜 索 参 考 手 册 中 的 关 于 CLI 搜 索 查 看 远 程 服 务 器 上 已 安 装 的 应 用 以 下 示 例 会 返 回 在 远 程 "splunkserver" 上 所 安 装 应 用 的 列 表./splunk display app -uri https://splunkserver:8089 更 改 您 的 默 认 URI 值 您 可 以 使 用 SPLUNK_URI 环 境 变 量 来 设 置 默 认 URI 值 如 果 您 将 此 值 更 改 为 远 程 服 务 器 的 URI, 则 在 每 次 要 访 问 远 程 服 务 器 时 无 需 包 含 uri 参 数 要 更 改 SPLUNK_URI 的 值, 键 入 : $ export SPLUNK_URI=[http https]://name_of_server:management_port For Unix shells C:\> set SPLUNK_URI=[http https]://name_of_server:management_port For Windows shell 对 于 上 述 示 例, 您 可 以 键 入 以 下 命 令 来 更 改 SPLUNK_URI 的 值 : $ export SPLUNK_URI=https://splunkserver:8089 您 无 法 远 程 运 行 的 CLI 命 令 除 了 控 制 服 务 器 的 命 令 之 外, 您 可 以 远 程 运 行 所 有 其 他 CLI 命 令 这 些 服 务 器 控 制 命 令 包 括 : start, stop, restart status, version 通 过 访 问 CLI 帮 助 参 考, 可 查 看 所 有 CLI 命 令 有 关 更 多 信 息, 请 参 阅 本 手 册 中 的 使 用 CLI 获 取 帮 助 自 定 义 CLI 登 录 横 幅 如 果 您 提 供 CLI 对 数 据 的 访 问 权 限, 则 可 能 需 要 自 定 义 登 录 横 幅 以 通 知 您 的 用 户 监 视 情 况 其 法 律 义 务 和 误 用 处 罚 也 可 以 为 您 的 CLI 登 录 添 加 其 他 安 全 性 ( 采 用 基 本 验 证 的 形 式 ) 要 创 建 自 定 义 登 录 横 幅 并 添 加 基 本 验 证, 请 将 下 列 段 落 添 加 到 本 地 server.conf 文 件 中 : [httpserver] cliloginbanner = <string> allowbasicauth = true false 44

basicauthrealm = <string> 对 于 cliloginbanner = <string> 创 建 系 统 在 提 示 输 入 验 证 凭 据 之 前 希 望 您 的 用 户 在 Splunk CLI 中 看 到 的 消 息, 如 访 问 策 略 信 息 默 认 值 是 无 消 息 要 创 建 多 行 横 幅, 请 将 各 行 置 于 逗 号 分 隔 列 表 中, 每 一 行 都 用 双 引 号 引 起 来 例 如 : cliloginbanner="line 1","Line 2","Line 3" 要 在 横 幅 文 本 中 包 括 双 引 号, 请 在 行 中 使 用 两 个 引 号 例 如 : cliloginbanner="this is a line that ""contains quote characters""!" 对 于 allowbasicauth = true false: 如 果 您 希 望 除 了 Splunk 的 现 有 (authtoken) 验 证 外, 客 户 端 还 需 使 用 HTTP Basic 验 证 对 Splunk 服 务 器 进 行 已 验 证 的 请 求, 则 将 此 值 设 置 为 true 这 对 允 许 有 规 划 地 访 问 REST 端 点 以 及 从 Web 浏 览 器 访 问 REST API 都 非 常 有 用 UI 或 CLI 则 不 需 要 此 设 置 默 认 值 为 true 对 于 basicauthrealm = <string>: 如 果 您 已 启 用 allowbasicauth, 请 使 用 此 属 性 添 加 在 提 示 凭 据 时 可 显 示 在 Web 浏 览 器 中 的 文 本 字 符 串 您 可 以 显 示 描 述 服 务 器 和 / 或 访 问 策 略 的 短 消 息 默 认 情 况 下, 显 示 的 文 本 为 "/splunk" 启 动 Splunk Enterprise 并 执 行 初 始 任 务 启 动 和 停 止 Splunk Enterprise 本 主 题 提 供 有 关 启 动 和 停 止 Splunk Enterprise 的 简 要 说 明 在 Windows 上 启 动 Splunk Enterprise 在 Windows 上,Splunk Enterprise 默 认 安 装 在 C:\Program Files\Splunk 中 Splunk 文 档 中 的 许 多 示 例 都 使 用 $SPLUNK_HOME 来 表 示 Splunk 安 装 目 录 如 果 您 将 Splunk Enterprise 安 装 在 默 认 目 录 中, 则 可 将 字 符 串 $SPLUNK_HOME( 在 Windows 上 为 %SPLUNK_HOME%) 替 换 为 C:\Program Files\Splunk Splunk Enterprise 安 装 了 两 个 服 务 :splunkd 和 splunkweb 正 常 操 作 时, 仅 splunkd 运 行, 处 理 所 有 Splunk Enterprise 操 作, 包 括 Splunk Web 界 面 要 更 改 这 种 情 况, 您 需 要 将 Splunk Enterprise 置 于 旧 模 式 中 请 参 阅 在 旧 模 式 中, 在 Windows 上 启 动 Splunk Enterprise 在 Windows 上, 您 可 以 通 过 以 下 方 法 之 一 来 启 动 和 停 止 Splunk: 1. 通 过 Windows 服 务 控 制 面 板 ( 从 Start -> Control Panel -> Administrative Tools -> Services 访 问 ) 来 启 动 和 停 止 Splunk Enterprise 进 程 服 务 器 守 护 程 序 和 Web 界 面 :splunkd Web 界 面 ( 仅 在 旧 模 式 中 ):splunkweb 在 正 常 操 作 时, 此 服 务 启 动, 并 在 收 到 启 动 请 求 时 立 即 退 出 2. 从 命 令 提 示 符 下, 使 用 NET START <service> 或 NET STOP <service> 命 令 来 启 动 和 停 止 Splunk Enterprise 服 务 : 服 务 器 守 护 程 序 和 Web 界 面 :splunkd Web 界 面 ( 仅 在 旧 模 式 中 ):splunkweb 在 正 常 操 作 时, 此 服 务 启 动, 并 在 收 到 启 动 请 求 时 立 即 退 出 3. 前 往 %SPLUNK_HOME%\bin 并 键 入 以 下 命 令, 即 可 同 时 启 动 停 止 或 重 新 启 动 这 两 个 进 程 : > splunk [start stop restart] 在 旧 模 式 中, 在 Windows 上 启 动 Splunk Enterprise 如 果 您 要 在 旧 模 式 中 运 行 Splunk Enterprise, 其 中 splunkd 和 splunkweb 都 运 行, 则 您 必 须 更 改 配 置 参 数 重 要 提 示 : 切 勿 永 久 在 传 统 模 式 下 运 行 Splunk Web 使 用 传 统 模 式 临 时 解 决 由 用 户 界 面 与 主 splunkd 服 务 的 新 集 成 引 入 的 问 题 一 旦 您 纠 正 此 问 题, 尽 快 将 Splunk Web 返 回 到 正 常 模 式 要 将 Splunk Enterprise 置 于 旧 模 式 : 1. 从 命 令 提 示 符, 转 到 %SPLUNK_HOME%\etc\system\default 2. 创 建 web.conf 的 副 本 并 将 其 放 入 %SPLUNK_HOME%\etc\system\local 中 45

3. 在 %SPLUNK_HOME%\etc\system\local 中 编 辑 web.conf 4. 在 web.conf 中, 将 appserverports 和 httpport 属 性 设 置 如 下 : [settings] appserverports = 0 httpport = 8000 5. 保 存 文 件 并 将 其 关 闭 6. 重 新 启 动 Splunk Enterprise splunkd 和 splunkweb 服 务 启 动 并 保 持 运 行 7. 通 过 浏 览 http://<server name>:<httpport> 和 输 入 凭 据, 登 录 Splunk Enterprise 要 恢 复 正 常 的 Splunk Enterprise 操 作 : 编 辑 %SPLUNK_HOME%\etc\system\local\web.conf 并 删 除 appserverports 和 httpport 属 性 在 UNIX 上 启 动 Splunk Enterprise Splunk Enterprise 安 装 时, 有 一 个 进 程 在 *nix,splunkd 上 正 常 操 作 时, 仅 splunkd 运 行, 处 理 所 有 Splunk Enterprise 操 作, 包 括 Splunk Web 界 面 要 更 改 这 种 情 况, 您 需 要 将 Splunk Enterprise 置 于 旧 模 式 中 请 参 阅 在 旧 模 式 中, 在 Unix 上 启 动 Splunk Enterprise 启 动 Splunk Enterprise 在 Splunk Enterprise 服 务 器 主 机 上, 从 shell 提 示 符 运 行 以 下 命 令 : splunk start 注 意 : 如 果 您 已 将 Splunk Enterprise 配 置 为 在 开 机 时 启 动, 则 您 应 该 使 用 服 务 命 令 启 动 Splunk Enterprise 这 将 确 保 在 init.d 脚 本 中 配 置 的 用 户 可 启 动 软 件 service splunk start 这 将 启 动 splunkd( 索 引 器 和 Splunk Web 界 面 ) 要 分 别 启 动 它 们, 键 入 : splunk start splunkd 或 ( 仅 在 旧 模 式 中 ) splunk start splunkweb 注 意 : 如 果 startwebserver 属 性 已 禁 用, 或 appserverports 属 性 在 web.conf 中 设 置 为 任 何 非 0 的 值, 则 手 动 启 动 splunkweb 不 会 进 行 任 何 操 作 splunkweb 过 程 将 不 会 在 这 两 者 中 的 任 一 情 况 中 启 动 请 参 阅 在 旧 模 式 中, 在 Unix 上 启 动 Splunk Enterprise 要 重 新 启 动 Splunk Enterprise(splunkd 或 splunkweb), 键 入 : splunk restart splunk restart splunkd ( 仅 在 旧 模 式 中 ) splunk restart splunkweb 在 旧 模 式 中, 在 Unix 上 启 动 Splunk Enterprise 如 果 您 要 在 splunkd 和 splunkweb 都 运 行 的 情 况 下 运 行 Splunk Enterprise, 则 您 必 须 将 Splunk Enterprise 置 于 旧 模 式 中 要 将 Splunk Enterprise 置 于 旧 模 式 : 1. 从 shell 提 示 符, 转 到 $SPLUNK_HOME/etc/system/default 2. 创 建 web.conf 的 副 本 并 将 其 放 入 $SPLUNK_HOME/etc/system/local 中 3. 在 $SPLUNK_HOME/etc/system/local 中 编 辑 web.conf 4. 在 web.conf 中, 将 appserverports 和 httpport 属 性 设 置 如 下 : 46

[settings] appserverports = 0 httpport = 8000 5. 保 存 文 件 并 将 其 关 闭 6. 重 启 启 动 Splunk Enterprise( 请 参 阅 在 Unix 上 启 动 Splunk Enterprise ) splunkd 和 splunkweb 服 务 启 动 并 保 持 运 行 7. 通 过 浏 览 http://<server name>:<httpport> 和 输 入 凭 据, 登 录 Splunk Enterprise 要 恢 复 正 常 的 Splunk Enterprise 操 作 : 编 辑 %SPLUNK_HOME%\etc\system\local\web.conf 并 删 除 appserverports 和 httpport 属 性 停 止 Splunk Enterprise 要 关 闭 Splunk Enterprise, 运 行 以 下 命 令 : splunk stop 要 分 别 停 止 splunkd 和 Splunk Web, 键 入 : splunk stop splunkd 或 ( 仅 在 旧 模 式 中 ) splunk stop splunkweb 检 查 Splunk 是 否 正 在 运 行 要 检 查 Splunk Enterprise 是 否 正 在 运 行, 在 服 务 器 主 机 上, 从 shell 提 示 符 下 键 入 以 下 命 令 : splunk status 您 应 当 可 以 看 到 以 下 输 出 : splunkd is running (PID: 3162). splunk helpers are running (PIDs: 3164). 如 果 Splunk Enterprise 在 旧 模 式 中 运 行, 则 您 将 在 输 出 中 看 到 额 外 一 行 : splunkweb is running (PID: 3216). 注 意 : 在 Unix 系 统 上, 您 必 须 以 运 行 Splunk Enterprise 的 用 户 身 份 登 录 以 运 行 splunk status 命 令 其 他 用 户 无 法 读 取 所 需 文 件 以 正 确 地 报 告 状 态 如 果 splunk status 决 定 服 务 运 行, 则 将 返 回 状 态 代 码 0 或 成 功 如 果 splunk status 决 定 服 务 不 运 行, 则 将 返 回 针 对 非 运 行 服 务 Linux Standard Base 值 3 其 他 值 可 能 会 显 示 splunk status 出 现 错 误 您 还 可 以 使 用 ps 来 检 查 正 在 运 行 的 Splunk Enterprise 进 程 : ps aux grep splunk grep -v grep Solaris 用 户 应 使 用 ps 的 -ef 参 数, 而 非 aux: ps -ef grep splunk grep -v grep 从 Splunk Web 重 新 启 动 Splunk Enterprise 您 还 可 以 从 Splunk Web 重 新 启 动 Splunk: 1. 导 航 到 系 统 > 服 务 器 控 件 2. 单 击 重 新 启 动 Splunk 这 将 重 新 启 动 splunkd 和 splunkweb 过 程 ( 仅 在 旧 模 式 中 ) 配 置 Splunk 在 开 机 时 启 动 47

在 Windows 上,Splunk 会 默 认 为 在 开 机 时 启 动 要 禁 用 此 特 性, 请 参 阅 本 主 题 末 尾 的 在 Windows 上 禁 用 开 机 时 启 动 在 *nix 平 台 上, 您 需 要 配 置 Splunk 以 在 开 机 时 启 动 在 *nix 平 台 上 启 用 开 机 时 启 动 Splunk 提 供 了 一 个 工 具, 它 可 以 更 新 您 的 系 统 启 动 配 置, 以 便 使 Splunk 能 够 在 系 统 启 动 时 启 动 该 工 具 会 创 建 适 当 的 init 脚 本 ( 或 做 出 类 似 的 配 置 更 改, 具 体 取 决 于 您 的 操 作 系 统 ) 以 root 用 户 身 份 运 行 : $SPLUNK_HOME/bin/splunk enable boot-start 如 果 不 以 根 用 户 身 份 启 动 Splunk, 您 可 以 传 递 -user 参 数 以 指 定 以 哪 个 用 户 身 份 启 动 Splunk 例 如, 如 果 要 以 用 户 bob 的 身 份 运 行 Splunk, 则 作 为 根 用 户, 您 可 以 运 行 : $SPLUNK_HOME/bin/splunk enable boot-start -user bob 如 果 您 打 算 禁 止 Splunk 在 开 机 时 启 动, 则 运 行 : $SPLUNK_HOME/bin/splunk disable boot-start 在 $SPLUNK_HOME/etc/init.d/README 中 提 供 了 更 多 相 关 信 息, 您 也 可 以 在 命 令 行 中 键 入 help boot-start Mac 用 户 注 意 事 项 Splunk 会 自 动 在 目 录 中 创 建 一 个 脚 本 和 配 置 文 件 :/System/Library/StartupItems 此 脚 本 在 系 统 开 机 时 运 行, 并 且 在 系 统 关 机 时 自 动 停 止 Splunk 注 意 : 如 果 您 在 使 用 Mac OS, 您 必 须 具 备 root 级 权 限 ( 或 使 用 sudo) 您 需 要 管 理 员 权 限 以 使 用 sudo 示 例 : 要 在 Mac OS 上 于 系 统 开 机 时 启 用 Splunk, 请 使 用 : 仅 CLI:./splunk enable boot-start CLI 和 sudo: sudo./splunk enable boot-start 在 Windows 上 禁 用 开 机 时 启 动 默 认 情 况 下,Splunk 会 在 您 启 动 Windows 计 算 机 时 自 动 启 动 您 可 以 配 置 Splunk 进 程 (splunkd 和 splunkweb) 以 从 Windows 服 务 控 制 面 板 中 手 动 启 动 它 们 安 装 您 的 许 可 证 首 次 下 载 Splunk 时, 将 要 求 您 注 册 通 过 注 册, 您 可 以 获 得 一 份 临 时 (60 天 ) 的 Enterprise Trial 许 可 证, 此 许 可 证 允 许 您 每 天 创 建 的 最 大 索 引 量 为 500 MB 该 许 可 证 会 包 含 在 您 的 下 载 中 Enterprise 许 可 证 启 用 以 下 功 能 : 多 个 用 户 帐 户 和 访 问 控 制 分 布 式 搜 索 和 数 据 路 由 部 署 管 理 有 关 Splunk 许 可 授 权 的 更 多 信 息, 请 参 阅 本 手 册 中 的 Splunk 许 可 授 权 如 何 运 作 从 哪 里 获 得 新 许 可 证? 48

当 您 请 求 新 的 许 可 证 时, 您 将 通 过 来 自 Splunk 的 电 子 邮 件 收 到 许 可 证 您 还 可 以 从 您 的 splunk.com 中 的 我 的 订 单 页 面 获 得 新 的 许 可 证 要 通 过 Splunk Web 来 安 装 和 更 新 您 的 许 可 证, 请 导 航 到 设 置 > 许 可 授 权, 并 遵 循 这 些 说 明 更 改 默 认 值 在 您 开 始 针 对 您 的 环 境 来 配 置 Splunk Enterprise 之 前, 请 查 看 下 列 默 认 设 置, 以 确 定 是 否 需 要 更 改 某 些 设 置 设 置 或 更 改 环 境 变 量 您 可 以 通 过 在 操 作 系 统 上 设 置 环 境 变 量 以 更 改 Splunk Enterprise 的 启 动 方 式 在 *nix 上, 使 用 setenv 或 export 命 令 来 设 置 特 定 变 量 例 如 : export SPLUNK_HOME = /opt/splunk02/splunk 如 果 您 想 要 永 久 地 设 置 环 境, 编 辑 相 应 的 shell 初 始 化 文 件, 并 为 您 希 望 Splunk Enterprise 启 动 时 使 用 的 变 量 添 加 条 目 在 Windows 上, 在 命 令 提 示 符 或 PowerShell 窗 口 中 使 用 set 环 境 变 量 : C:\> set SPLUNK_HOME = "C:\Program Files\Splunk" 如 果 您 想 要 永 久 地 设 置 环 境, 使 用 环 境 变 量 窗 口 以 添 加 条 目 到 用 户 变 量 列 表 中 有 个 可 用 的 环 境 变 量 : 环 境 变 量 用 途 SPLUNK_HOME Splunk Enterprise 安 装 目 录 的 完 全 限 定 路 径 SPLUNK_DB 目 录 ( 包 含 Splunk Enterprise 索 引 目 录 ) 的 完 全 限 定 路 径 SPLUNK_BINDIP SPLUNK_IGNORE_SELINUX SPLUNK_OS_USER SPLUNK_SERVER_NAME Splunk Enterprise 应 该 在 启 动 时 绑 定 以 接 受 连 接 的 系 统 IP 地 址 当 主 机 有 超 过 一 个 活 动 的 IP 地 址 时 非 常 有 用 指 示 Splunk Enterprise 在 启 用 了 SELinux 的 Linux 主 机 上 运 行 时 尝 试 启 动 默 认 情 况 下, 当 Splunk Enterprise 检 测 到 SELinux 处 于 活 跃 状 态 时 会 立 即 退 出 该 变 量 使 此 检 查 无 效, 并 能 用 于 已 配 置 SELinux 的 方 案 中 以 允 许 Splunk Enterprise 运 行 指 示 Splunk Enterprise 假 定 您 指 定 的 用 户 凭 据, 无 论 您 作 为 哪 个 用 户 启 动 它 例 如, 如 果 您 在 系 统 中 指 定 用 户 'splunk' 并 作 为 root 用 户 启 动 Splunk Enterprise, 它 采 用 'splunk' 用 户 的 权 限, 而 且 任 何 由 这 些 过 程 写 入 的 文 件 都 将 属 于 'splunk' 用 户 所 有 splunkd 服 务 ( 在 Windows 上 ) 或 过 程 ( 在 *nix 上 ) 的 名 称 切 勿 设 置 该 变 量, 除 非 您 知 道 您 在 做 什 么 49

SPLUNK_WEB_NAME splunkweb 服 务 ( 在 Windows 上 ) 或 过 程 ( 在 *nix 上 ) 的 名 称 切 勿 设 置 该 变 量, 除 非 您 知 道 您 在 做 什 么 您 也 可 以 通 过 编 辑 splunk-launch.conf( 在 一 些 情 况 下, 编 辑 web.conf) 来 为 每 个 实 例 编 辑 这 些 环 境 变 量 当 您 在 主 机 上 运 行 超 过 一 个 Splunk 实 例 时, 这 会 有 所 帮 助 请 参 阅 splunk-launch.conf 更 改 管 理 员 默 认 密 码 使 用 Enterprise 许 可 证 的 Splunk 具 有 默 认 的 管 理 帐 户 和 密 码,admin/changeme Splunk 强 烈 建 议 您 更 改 默 认 密 码 您 可 以 通 过 Splunk 的 CLI 或 Splunk Web 来 执 行 此 操 作 使 用 Splunk Web 要 更 改 管 理 员 默 认 密 码 : 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 用 户 和 验 证 部 分 中 单 击 访 问 控 制 4. 单 击 用 户 5. 单 击 admin 用 户 6. 更 新 密 码, 并 单 击 保 存 使 用 Splunk CLI Splunk CLI 命 令 为 : splunk edit user 重 要 提 示 : 您 必 须 首 先 使 用 现 有 密 码 进 行 验 证, 然 后 才 能 更 改 密 码 通 过 CLI 或 使 用 -auth 参 数 登 录 Splunk 例 如, 该 命 令 将 管 理 员 密 码 从 changeme 更 改 为 foo: splunk edit user admin -password foo -role admin -auth admin:changeme 注 意 : 在 *nix 操 作 系 统 上,shell 会 将 某 些 特 殊 字 符 解 释 为 命 令 指 令 您 必 须 对 这 些 字 符 进 行 转 义, 方 法 是 分 别 在 各 字 符 之 前 加 上 \ 或 者 将 密 码 用 单 引 号 (') 括 起 例 如 : splunk edit user admin -password 'fflanda$' -role admin -auth admin:changeme 或 splunk edit user admin -password fflanda\$ -role admin -auth admin:changeme 在 Windows 上, 使 用 脱 字 符 (^) 对 保 留 的 shell 字 符 进 行 转 义 或 者 将 密 码 用 双 引 号 (") 括 起 例 如 : splunk edit user admin -password "fflanda>" -role admin -auth admin:changeme 或 splunk edit user admin -password fflanda^> -role admin -auth admin:changeme 注 意 : 您 还 可 以 跨 服 务 器 一 次 重 置 所 有 密 码 有 关 过 程, 请 参 阅 跨 多 个 服 务 器 部 署 密 码 更 改 络 端 口 Splunk 在 安 装 时 配 置 两 个 端 口 : HTTP/HTTPS 端 口 该 端 口 为 Splunk Web 提 供 套 接 字 默 认 端 口 为 8000 管 理 端 口 该 端 口 用 于 与 splunkd 守 护 程 序 通 信 Splunk Web 在 此 端 口 上 与 splunkd 通 信 此 外, 命 令 行 界 面 和 任 何 来 自 其 他 服 务 器 的 分 布 式 连 接 也 均 采 用 此 端 口 默 认 端 口 为 8089 50

重 要 提 示 : 在 安 装 期 间, 您 可 能 会 将 这 些 端 口 设 置 为 默 认 值 以 外 的 其 他 值 注 意 : 对 于 从 转 发 器 接 收 数 据 的 Splunk 实 例, 必 须 配 置 另 外 一 个 端 口, 即 接 收 器 端 口 它 们 使 用 此 端 口 来 侦 听 来 自 转 发 器 的 传 入 数 据 在 安 装 期 间 不 进 行 此 配 置 默 认 接 收 器 端 口 是 9997 有 关 更 多 信 息, 请 参 阅 转 发 数 据 手 册 中 的 启 用 接 收 器 使 用 Splunk Web 要 将 这 些 端 口 从 安 装 时 的 设 置 值 更 改 为 其 他 值 : 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 系 统 部 分 中 单 击 服 务 器 设 置 链 接 4. 单 击 常 规 设 置 5. 更 改 管 理 端 口 或 Web 端 口 的 值, 并 单 击 保 存 使 用 Splunk CLI 要 通 过 Splunk CLI 来 更 改 端 口 设 置, 请 使 用 CLI 命 令 set 例 如, 该 命 令 将 Splunk Web 端 口 设 为 9000: splunk set web-port 9000 该 命 令 将 splunkd 端 口 设 为 9089: splunk set splunkd-port 9089 更 改 默 认 Splunk 服 务 器 名 称 Splunk 服 务 器 名 称 设 置 同 时 控 制 在 Splunk Web 中 显 示 的 名 称 和 在 分 布 式 设 置 中 发 送 给 其 他 Splunk 服 务 器 的 名 称 默 认 名 称 来 自 DNS 或 Splunk 服 务 器 主 机 的 IP 地 址 使 用 Splunk Web 要 更 改 Splunk 服 务 器 名 称 : 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 系 统 部 分 中 单 击 系 统 设 置 链 接 4. 单 击 常 规 设 置 5. 更 改 Splunk 服 务 器 名 称 的 值, 并 单 击 保 存 使 用 Splunk CLI 要 通 过 CLI 来 更 改 服 务 器 名 称, 使 用 set servername 命 令 例 如, 该 命 令 将 服 务 器 名 称 设 置 为 foo: splunk set servername foo 更 改 数 据 存 储 区 位 置 数 据 存 储 区 是 Splunk 服 务 器 用 于 存 储 所 有 索 引 数 据 的 顶 级 目 录 注 意 : 如 果 您 更 改 此 目 录, 服 务 器 将 不 会 迁 移 旧 的 数 据 存 储 区 文 件 相 反, 它 会 从 新 的 位 置 重 新 开 始 要 将 您 的 数 据 迁 移 到 另 一 个 目 录, 请 遵 循 移 动 索 引 中 的 说 明 使 用 Splunk Web 要 更 改 数 据 存 储 区 位 置 : 51

1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 系 统 部 分 中 单 击 系 统 设 置 链 接 4. 单 击 常 规 设 置 5. 更 改 索 引 路 径 中 的 路 径, 并 单 击 保 存 6. 使 用 CLI 重 新 启 动 Splunk 导 航 到 $SPLUNK_HOME/bin/ (*nix) 或 %SPLUNK_HOME%\bin (Windows), 然 后 运 行 以 下 命 令 : splunk restart 重 要 提 示 : 不 要 使 用 设 置 中 的 重 新 启 动 功 能 这 不 会 达 到 更 改 索 引 目 录 的 预 期 效 果 您 必 须 从 CLI 重 新 启 动 使 用 Splunk CLI 要 通 过 CLI 来 更 改 数 据 存 储 区 目 录, 使 用 set datastore-dir 命 令 例 如, 该 命 令 将 数 据 存 储 区 目 录 设 置 为 /var/splunk/: splunk set datastore-dir /var/splunk/ 设 置 最 小 可 用 磁 盘 空 间 最 小 可 用 磁 盘 空 间 设 置 会 控 制 在 Splunk 停 止 建 立 索 引 之 前, 数 据 存 储 区 位 置 中 磁 盘 空 间 不 足 的 最 低 情 况 如 果 可 用 磁 盘 空 间 增 加, 则 Splunk 会 恢 复 建 立 索 引 的 状 态 使 用 Splunk Web 要 设 置 最 小 可 用 磁 盘 空 间 : 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 界 面 右 上 方 的 设 置 3. 在 屏 幕 的 系 统 部 分 中 单 击 系 统 设 置 链 接 4. 单 击 常 规 设 置 5. 更 改 可 用 磁 盘 空 间 低 于 此 值 时 暂 停 建 立 索 引 的 值, 并 单 击 保 存 使 用 Splunk CLI 要 通 过 CLI 更 改 最 小 可 用 空 间 值, 使 用 set minfreemb 命 令 例 如, 该 命 令 将 最 小 可 用 空 间 设 置 为 2000 MB: splunk set minfreemb 2000 设 置 默 认 的 时 间 范 围 搜 索 和 报 表 应 用 中 的 特 殊 搜 索 默 认 时 间 范 围 设 置 为 所 有 时 间 管 理 员 可 全 局 设 置 所 有 应 用 的 默 认 时 间 范 围 设 置 存 储 在 [general_default] 段 落 的 SPLUNK_HOME/etc/apps/user-prefs/local/user-prefs.conf 文 件 中 此 设 置 适 用 于 Splunk Apps 的 所 有 搜 索 页 面, 而 非 仅 搜 索 和 报 表 应 用 此 设 置 适 用 于 所 有 用 户 角 色 注 意 : 此 设 置 不 适 用 于 仪 表 板 使 用 Splunk Web 1. 以 管 理 员 用 户 身 份 登 录 Splunk Web 2. 单 击 设 置 3. 在 系 统 部 分, 单 击 服 务 器 设 置 4. 单 击 搜 索 首 选 项 52

5. 在 默 认 搜 索 时 间 范 围 下 拉 菜 单 中, 选 择 要 使 用 的 时 间 并 单 击 保 存 ui_prefs.conf 文 件 中 的 时 间 范 围 设 置 对 于 特 定 应 用 程 序 或 用 户, 您 可 能 在 ui-prefs.conf 文 件 中 已 有 时 间 范 围 设 置 ui-prefs.conf 文 件 中 的 设 置 优 先 于 使 用 Splunk Web 对 全 局 默 认 时 间 范 围 所 做 的 所 有 设 置 但 如 果 想 要 所 有 应 用 程 序 和 用 户 都 使 用 全 局 默 认 时 间 范 围, 可 考 虑 移 除 ui-prefs.conf 文 件 中 的 设 置 其 他 默 认 设 置 在 Splunk Web 设 置 的 常 规 设 置 屏 幕 上 还 有 其 他 一 些 您 可 能 想 要 更 改 的 默 认 设 置 请 仔 细 浏 览 屏 幕 以 查 看 这 些 选 项 另 请 参 阅 关 于 配 置 文 件 user-prefs.conf ui-prefs.conf 将 Splunk 绑 定 到 某 个 IP 您 可 以 强 制 Splunk 将 其 端 口 绑 定 到 某 个 特 定 的 IP 地 址 默 认 情 况 下,Splunk 会 绑 定 到 IP 地 址 0.0.0.0, 即 所 有 可 用 的 IP 地 址 更 改 Splunk 的 绑 定 IP 仅 适 用 于 Splunk 守 护 程 序 (splunkd), 其 侦 听 端 口 为 : TCP 端 口 8089( 默 认 ) 针 对 以 下 功 能 配 置 的 任 何 端 口 : SplunkTCP 输 入 TCP 或 UDP 输 入 要 将 Splunk Web 进 程 (splunkweb) 绑 定 到 特 定 IP, 请 使 用 web.conf 中 的 server.socket_host 设 置 暂 时 要 暂 时 更 改, 请 在 启 动 Splunk 之 前 设 置 环 境 变 量 SPLUNK_BINDIP=<ipaddress> 永 久 如 果 您 要 对 工 作 环 境 做 出 永 久 性 更 改, 请 修 改 $SPLUNK_HOME/etc/splunk-launch.conf 以 包 括 SPLUNK_BINDIP 属 性 和 <ipaddress> 值 例 如, 要 将 Splunk 端 口 绑 定 到 127.0.0.1( 仅 本 地 环 回 ),splunk-launch.conf 应 为 : Modify the following line to suit the location of your Splunk install. If unset, Splunk will use the parent of the directory this configuration file was found in SPLUNK_HOME=/opt/splunk SPLUNK_BINDIP=127.0.0.1 重 要 提 示 :web.conf 中 mgmthostport 属 性 具 有 默 认 值 127.0.0.1:8089 因 此, 如 果 您 将 SPLUNK_BINDIP 更 改 为 127.0.0.1 以 外 的 任 何 值, 则 还 必 须 更 改 mgmthostport 以 使 用 同 一 IP 地 址 例 如, 如 果 您 在 splunk-launch.conf 中 做 出 此 改 动 : SPLUNK_BINDIP=10.10.10.1 您 还 必 须 在 web.conf 中 做 出 此 改 动 ( 假 设 管 理 端 口 为 8089): mgmthostport=10.10.10.1:8089 请 查 看 web.conf 以 了 解 有 关 mgmthostport 属 性 的 更 多 信 息 IPv6 注 意 事 项 从 版 本 4.3 起,web.conf mgmthostport 设 置 已 扩 展 为 可 以 接 受 使 用 方 括 号 括 起 的 IPv6 地 址 因 此, 如 果 您 将 splunkd 53

配 置 为 仅 在 IPv6 上 侦 听 ( 通 过 本 手 册 中 的 配 置 Splunk 以 使 用 IPv6 所 描 述 的 server.conf 相 关 设 置 ), 则 必 须 将 其 从 127.0.0.1:8089 更 改 为 [::1]:8089 配 置 Splunk 以 使 用 IPv6 本 主 题 介 绍 Splunk 对 IPv6 的 支 持, 以 及 如 何 配 置 它 在 执 行 本 主 题 中 的 程 序 之 前, 您 可 能 需 要 : 阅 读 本 手 册 中 的 关 于 配 置 文 件, 以 了 解 Splunk 配 置 文 件 如 何 工 作 阅 读 数 据 导 入 手 册 中 的 从 TCP 和 UDP 端 口 获 取 数 据 阅 读 本 手 册 中 的 "server.conf", 以 了 解 在 server.conf 配 置 文 件 中 可 用 的 选 项 参 考 阅 读 本 手 册 中 的 "inputs.conf", 以 了 解 在 inputs.conf 配 置 文 件 中 可 用 的 选 项 参 考 从 版 本 4.3 起,Splunk 开 始 支 持 IPv6 用 户 可 以 通 过 IPv6 络 连 接 到 Splunk Web 使 用 CLI 并 转 发 数 据 IPv6 平 台 支 持 所 有 Splunk 支 持 的 操 作 系 统 平 台 ( 请 参 阅 安 装 手 册 中 的 支 持 的 操 作 系 统 ) 都 会 支 持 使 用 IPv6 配 置, 但 以 下 操 作 系 统 除 外 : HPUX PA-RISC Solaris 8 和 9 AIX 配 置 Splunk 以 在 IPv6 络 上 侦 听 在 配 置 Splunk 以 在 IPv6 络 上 侦 听 时, 您 可 以 选 择 下 列 选 项 您 可 以 将 Splunk 配 置 为 : 仅 连 接 到 IPv6 地 址, 然 后 忽 略 来 自 DNS 的 所 有 IPv4 结 果 连 接 到 IPv4 和 IPv6 地 址, 且 首 先 尝 试 IPv6 地 址 首 先 尝 试 IPv4 地 址 仅 连 接 到 IPv4 地 址, 然 后 忽 略 来 自 DNS 的 所 有 IPv6 结 果 要 配 置 Splunk 以 在 IPv6 上 侦 听 : 编 辑 位 于 $SPLUNK_HOME/etc/system/local 中 的 server.conf 的 副 本, 添 加 以 下 内 容 : listenonipv6=[yes no only] yes 表 示 splunkd 将 侦 听 来 自 IPv6 和 IPv4 的 连 接 no 表 示 splunkd 将 只 在 IPv4 上 侦 听, 此 为 默 认 设 置 only 表 示 Splunk 将 只 在 IPv6 上 侦 听 传 入 连 接 connectusingipversion=[4-first 6-first 4-only 6-only auto] 4-first 表 示 splunkd 将 首 先 尝 试 连 接 到 IPv4 地 址, 如 果 失 败, 则 尝 试 连 接 到 IPv6 6-first 与 4-first 相 反 这 是 大 多 数 启 用 IPv6 的 客 户 端 应 用 ( 如 Web 浏 览 器 ) 采 取 的 策 略, 但 可 能 在 IPv6 部 署 的 早 期 阶 段 较 不 可 靠 4-only 表 示 splunkd 将 忽 略 来 自 DNS 的 任 何 IPv6 结 果 6-only 表 示 splunkd 将 忽 略 来 自 DNS 的 任 何 IPv4 结 果 auto 表 示 splunkd 将 根 据 listenonipv6 设 置 选 取 合 理 的 策 略 此 为 默 认 值 如 果 splunkd 只 在 IPv4 上 侦 听, 则 其 行 为 与 您 指 定 4-only 时 的 情 况 一 致 如 果 splunkd 只 在 IPv6 上 侦 听, 则 其 行 为 与 您 指 定 6-only 时 的 情 况 一 致 如 果 splunkd 同 时 在 二 者 上 侦 听, 则 其 行 为 与 您 指 定 6-first 时 的 情 况 一 致 重 要 提 示 : 这 些 设 置 只 会 影 响 DNS 查 找 例 如, 设 置 connectusingipversion = 6-first 将 不 会 导 致 采 用 显 式 IPv4 地 址 ( 如 "server=10.1.2.3:9001") 的 段 落 无 法 工 作 如 果 您 在 IPv6 上 只 有 少 量 输 入, 并 且 不 打 算 针 对 整 个 部 署 启 用 IPv6 如 果 您 在 IPv6 上 只 有 少 量 数 据 来 源, 并 且 不 希 望 为 您 的 整 个 Splunk 部 署 启 用 它, 您 可 以 将 上 述 的 listenonipv6 设 置 添 加 到 inputs.conf 中 的 任 何 [udp], [tcp], [tcp-ssl], [splunktcp] 或 [splunktcp-ssl] 段 落 这 将 覆 盖 对 应 输 入 的 server.conf 中 相 同 名 称 的 设 置 在 IPv6 上 转 发 数 据 您 的 Splunk 转 发 器 可 以 在 IPv6 上 转 发 数 据 在 outputs.conf 中 支 持 以 下 设 置 : 在 [tcpout] 段 落 中 的 server 设 置 可 以 包 含 标 准 [host]:port 格 式 中 的 IPv6 地 址 [tcpout-server] 段 落 可 以 接 受 标 准 [host]:port 格 式 中 的 IPv6 地 址 在 [syslog] 段 落 中 的 server 设 置 可 以 包 含 标 准 [host]:port 格 式 中 的 IPv6 地 址 54

针 对 IPv6 的 分 布 式 搜 索 配 置 您 的 Splunk 分 布 式 搜 索 部 署 可 以 使 用 IPv6 在 distsearch.conf 中 支 持 以 下 设 置 : servers 设 置 可 以 包 含 标 准 [host]:port 格 式 中 的 IPv6 地 址 不 过,heartbeatMcastAddr 并 未 经 过 更 新 以 支 持 IPv6 地 址 该 设 置 已 在 Splunk 4.3 中 被 弃 用, 并 将 从 未 来 的 产 品 版 本 中 删 除 在 IPv6 上 访 问 Splunk Web 如 果 您 的 络 策 略 允 许 或 需 要 来 自 Web 浏 览 器 的 IPv6 连 接, 您 可 以 配 置 splunkweb 服 务 以 使 其 行 为 不 同 于 splunkd 从 版 本 4.3 起,web.conf 开 始 支 持 listenonipv6 设 置 该 设 置 的 行 为 与 其 在 server.conf 中 ( 如 上 所 述 ) 完 全 相 同, 但 仅 适 用 于 Splunk Web 现 有 的 web.conf mgmthostport 设 置 已 扩 展 为 可 以 接 受 使 用 方 括 号 括 起 的 IPv6 地 址 因 此, 如 果 您 将 splunkd 配 置 为 仅 在 IPv6 上 侦 听 ( 通 过 上 述 server.conf 中 的 设 置 ), 则 必 须 将 其 从 127.0.0.1:8089 更 改 为 [::1]:8089 Splunk CLI 和 IPv6 Splunk CLI 可 以 在 IPv6 上 与 splunkd 通 信 如 果 您 在 web.conf 中 设 置 mgmthostport, 定 义 了 $SPLUNK_URI 环 境 变 量, 或 使 用 -uri 命 令 行 选 项, 则 可 以 做 到 这 一 点 当 使 用 -uri 选 项 时, 请 确 保 用 方 括 号 将 IPv6 IP 地 址 括 起, 并 用 引 号 将 整 个 地 址 和 端 口 引 起 来, 例 如 :-uri "[2001:db8::1]:80" IPv6 和 SSO 如 果 您 在 IPv6 上 使 用 SSO, 则 不 必 对 trustedip 属 性 使 用 方 括 号, 如 下 例 所 示 这 同 时 适 用 于 web.conf 和 server.conf 在 下 面 的 web.conf 示 例 中,mgmtHostPort 属 性 使 用 方 括 号, 但 trustedip 属 性 未 使 用 : [settings] mgmthostport = [::1]:8089 startwebserver = 1 listenonipv6=yes trustedip=2620:70:8000:c205:250:56ff:fe92:1c7,::1,2620:70:8000:c205::129 SSOMode = strict remoteuser = X-Remote-User tools.proxy.on = true 有 关 SSO 的 更 多 信 息, 请 参 阅 确 保 Splunk Enterprise 安 全 手 册 中 的 配 置 单 一 登 录 确 保 配 置 安 全 如 果 您 的 配 置 尚 不 安 全, 是 时 候 确 保 Splunk 和 您 的 数 据 安 全 了 采 取 适 当 的 步 骤 以 确 保 Splunk 减 少 攻 击 面 并 缓 解 大 多 数 漏 洞 的 风 险 和 影 响 安 装 后 应 采 取 的 一 些 重 要 措 施 : 设 置 用 户 和 角 色 您 可 以 使 用 Splunks 本 机 验 证 配 置 用 户 和 / 或 使 用 LDAP 管 理 用 户 请 参 阅 关 于 用 户 验 证 设 置 证 书 验 证 (SSL) Splunk 随 附 了 一 系 列 默 认 证 书, 这 些 证 书 应 被 替 换 以 确 保 验 证 安 全 我 们 提 供 添 加 SSL 加 密 和 验 证 以 及 配 置 安 全 验 证 的 指 导 原 则 和 进 一 步 说 明 确 保 Splunk Enterprise 安 全 手 册 提 供 可 确 保 Splunk 安 全 的 方 法 的 更 多 相 关 信 息 包 括 检 查 表 以 对 您 的 配 置 进 行 强 化 有 关 更 多 信 息, 请 参 阅 确 保 Splunk Enterprise 安 全 配 置 Splunk 许 可 证 Splunk Enterprise 许 可 授 权 如 何 运 作 Splunk Enterprise 从 您 指 定 的 来 源 获 取 数 据 并 加 以 处 理, 以 便 您 进 行 分 析 我 们 将 此 过 程 称 为 建 立 索 引 有 关 准 确 的 建 立 索 引 过 程 的 信 息, 请 参 阅 数 据 导 入 手 册 中 的 Splunk Enterprise 如 何 处 理 您 的 数 据 Splunk Enterprise 许 可 证 规 定 了 您 在 每 个 日 历 日 ( 从 前 一 天 午 夜 到 当 天 午 夜, 以 许 可 证 主 服 务 器 上 的 时 钟 为 准 ) 可 以 建 立 索 引 的 数 据 量 在 您 的 Splunk Enterprise 基 础 设 施 中, 任 何 执 行 索 引 操 作 的 主 机 都 必 须 获 得 相 应 的 许 可 授 权 您 可 以 使 用 本 地 安 装 55

的 许 可 证 来 运 行 独 立 的 索 引 器, 也 可 以 将 某 个 Splunk Enterprise 实 例 配 置 为 许 可 证 主 服 务 器, 并 从 其 他 被 配 置 为 许 可 证 从 服 务 器 的 索 引 器 中 建 立 许 可 证 池, 并 从 中 选 取 除 了 索 引 量 之 外, 访 问 某 些 Splunk Enterprise 功 能 也 需 要 Enterprise 许 可 证 有 关 不 同 许 可 证 类 型 的 更 多 信 息, 请 阅 读 本 手 册 中 的 Splunk 许 可 证 类 型 有 关 升 级 现 有 许 可 证 的 信 息, 请 参 阅 安 装 手 册 中 的 迁 移 到 新 的 Splunk 许 可 证 关 于 许 可 证 主 服 务 器 和 许 可 证 从 服 务 器 之 间 的 连 接 在 配 置 了 许 可 证 主 服 务 器 实 例, 并 为 其 添 加 了 许 可 证 从 服 务 器 之 后, 许 可 证 从 服 务 器 每 分 钟 会 向 许 可 证 主 服 务 器 告 知 一 次 其 使 用 情 况 如 果 由 于 某 种 原 因 无 法 连 接 到 许 可 证 主 服 务 器, 许 可 证 从 服 务 器 会 启 动 72 小 时 计 时 器 如 果 许 可 证 从 服 务 器 连 续 72 小 时 无 法 与 许 可 证 主 服 务 器 通 信, 则 许 可 证 从 服 务 器 上 的 搜 索 操 作 将 被 阻 止 ( 仍 然 继 续 执 行 索 引 操 作 ) 用 户 将 无 法 搜 索 许 可 证 从 服 务 器 上 的 索 引 数 据, 除 非 可 以 再 次 连 接 到 许 可 证 主 服 务 器 Splunk Enterprise 许 可 证 生 命 周 期 当 您 首 次 安 装 所 下 载 的 Splunk Enterprise 副 本 时, 该 实 例 使 用 Enterprise Trial 许 可 证, 试 用 期 为 60 天 该 许 可 证 允 许 您 在 60 天 的 试 用 期 内 使 用 Splunk Enterprise 的 所 有 功 能, 每 天 最 多 可 以 建 立 500 MB 的 数 据 索 引 一 旦 60 天 试 用 期 满 后 ( 并 且 您 没 有 购 买 并 安 装 Enterprise 许 可 证 ), 您 可 以 选 择 切 换 到 Splunk Free Splunk Free 包 括 Splunk Enterprise 的 功 能 子 集, 专 门 用 于 独 立 部 署 的 使 用 和 短 期 取 证 调 查 它 允 许 您 每 天 最 多 对 500 MB 数 据 建 立 索 引 而 不 会 过 期 重 要 提 示 :Splunk Free 不 包 括 验 证 计 划 搜 索 或 告 警 功 能 这 意 味 着 任 何 用 户 都 可 以 访 问 您 的 安 装 ( 通 过 Splunk Web 或 CLI) 而 无 需 提 供 凭 据 此 外, 计 划 的 已 保 存 搜 索 或 告 警 将 不 再 会 被 触 发 如 果 您 希 望 在 60 天 试 用 期 满 后 继 续 使 用 Splunk Enterprise 功 能, 则 必 须 购 买 Enterprise 许 可 证 请 联 系 Splunk 销 售 代 表 以 了 解 更 多 信 息 在 您 购 买 并 下 载 Enterprise 许 可 证 之 后, 您 可 以 在 您 的 实 例 上 安 装 它, 然 后 就 可 以 访 问 Splunk Enterprise 功 能 了 请 阅 读 本 手 册 中 的 Splunk 许 可 证 类 型 以 了 解 Enterprise 功 能 相 关 信 息 Splunk 软 件 许 可 证 类 型 每 个 Splunk 实 例 都 需 要 一 个 许 可 证 Splunk 许 可 证 指 定 了 给 定 的 Splunk 实 例 可 以 建 立 索 引 的 数 据 量 以 及 您 有 权 访 问 的 功 能 本 主 题 介 绍 不 同 的 许 可 证 类 型 及 相 关 选 项 通 常 有 四 种 许 可 证 类 型 : Enterprise 许 可 证 启 用 所 有 Enterprise 功 能, 例 如 验 证 和 分 布 式 搜 索 Free 许 可 证 允 许 建 立 有 限 的 索 引 量 且 可 永 久 使 用, 但 禁 用 验 证 转 发 器 许 可 证 允 许 您 转 发 数 据 和 启 用 验 证, 但 不 允 许 对 数 据 建 立 索 引 Beta 许 可 证 通 常 启 用 Enterprise 功 能, 但 限 制 在 Splunk Beta 版 本 本 主 题 中 还 介 绍 部 署 包 括 分 布 式 搜 索 或 索 引 复 制 时 的 一 些 特 殊 许 可 注 意 事 项 有 关 升 级 现 有 许 可 证 的 信 息, 请 参 阅 安 装 手 册 中 的 迁 移 到 新 的 Splunk 许 可 证 Enterprise 许 可 证 Splunk Enterprise 是 标 准 Splunk 许 可 证 它 允 许 您 使 用 所 有 Splunk Enterprise 功 能, 包 括 验 证 分 布 式 搜 索 部 署 管 理 告 警 计 划 和 基 于 角 色 的 访 问 控 制 Enterprise 许 可 证 需 要 购 买, 它 在 索 引 量 上 没 有 限 制 请 联 系 Splunk 销 售 代 表 以 获 取 更 多 信 息 以 下 列 出 了 其 他 类 型 的 Enterprise 许 可 证, 它 们 均 包 含 相 同 的 功 能 : Enterprise Trial 许 可 证 当 您 首 次 下 载 Splunk 时, 您 将 被 要 求 进 行 注 册 通 过 注 册, 您 可 以 获 得 一 份 Enterprise Trial 许 可 证, 在 此 许 可 证 下 您 每 天 可 以 建 立 的 最 大 索 引 量 为 500 MB 从 您 开 始 使 用 Splunk 算 起,Enterprise Trial 许 可 证 将 在 60 天 后 失 效 如 果 您 采 用 Enterprise Trial 许 可 证 来 运 行 Splunk, 那 么 在 您 的 许 可 证 失 效 之 后,Splunk 将 要 求 您 切 换 到 Splunk Free 许 可 证 在 您 安 装 Splunk 之 后, 您 可 以 选 择 使 用 Enterprise Trial 许 可 证 来 运 行 Splunk( 直 到 该 许 可 证 到 期 ), 购 买 Enterprise 许 可 证 或 切 换 到 Free 许 可 证 ( 该 许 可 证 已 包 括 在 内 ) 注 意 :Enterprise Trial 许 可 证 有 时 也 称 为 "download-trial" Sales Trial 许 可 证 56

Sales Trial 许 可 证 如 果 您 使 用 Splunk Sales, 您 可 以 请 求 试 用 大 小 和 持 续 时 间 不 同 的 多 个 Enterprise 许 可 证 从 您 开 始 使 用 Splunk 算 起,Enterprise Trial 许 可 证 将 在 60 天 后 失 效 如 果 您 准 备 试 用 大 规 模 的 部 署, 并 要 求 较 长 的 持 续 时 间, 或 者 想 要 在 试 用 期 间 对 较 大 数 据 量 建 立 索 引, 您 可 以 直 接 与 Splunk Sales 或 您 的 销 售 代 表 联 系, 提 出 您 的 请 求 Free 许 可 证 Free 许 可 证 包 括 每 天 500 MB 的 索 引 量, 免 费 ( 供 您 使 用 ), 没 有 截 止 日 期 以 下 功 能 在 使 用 Enterprise 许 可 证 时 可 用, 但 在 Splunk Free 中 禁 用 : 多 个 用 户 帐 户 和 基 于 角 色 的 访 问 控 制 分 布 式 搜 索 以 TCP/HTTP 格 式 转 发 ( 您 可 以 向 其 他 Splunk 实 例 转 发 数 据, 但 不 能 向 非 Splunk 实 例 转 发 ) 部 署 管 理 ( 包 括 客 户 端 ) 告 警 / 监 视 验 证 和 用 户 管 理, 包 括 本 机 验 证 LDAP 和 脚 本 式 验 证 不 存 在 登 录 机 制 不 会 提 示 您 输 入 用 户 名 / 密 码, 通 过 命 令 行 或 浏 览 器 可 以 访 问 和 控 制 Splunk 的 所 有 方 面 您 无 法 添 加 更 多 角 色 或 创 建 用 户 帐 户 在 运 行 搜 索 时 将 针 对 所 有 公 共 索 引 'index=*', 且 不 支 持 如 用 户 配 额 最 大 每 个 搜 索 时 间 范 围 和 搜 索 过 滤 条 件 的 搜 索 限 制 功 能 系 统 被 禁 用, 为 所 有 访 问 Splunk 的 用 户 启 用 全 部 操 作 了 解 有 关 Splunk 免 费 版 本 的 详 细 信 息, 请 参 阅 本 手 册 转 发 器 许 可 证 本 许 可 证 允 许 转 发 无 限 量 数 据 ( 但 不 允 许 建 立 索 引 ), 还 在 实 例 上 启 用 安 全 性, 以 便 用 户 必 须 提 供 用 户 名 和 密 码 才 能 访 问 (Free 许 可 证 也 可 用 于 转 发 无 限 量 数 据, 但 没 有 安 全 性 ) 转 发 器 许 可 证 包 括 在 Splunk 中 ; 不 需 要 单 独 购 买 Splunk 提 供 个 转 发 器 选 项 : 通 用 转 发 器 自 动 启 用 / 应 用 许 可 证 ; 安 装 后 不 需 要 再 执 行 其 他 步 骤 轻 型 转 发 器 使 用 相 同 的 许 可 证, 但 必 须 通 过 手 动 更 改 为 转 发 器 许 可 证 组 来 启 用 重 型 转 发 器 也 必 须 手 动 转 换 为 转 发 器 许 可 证 组 如 果 要 执 行 建 立 索 引, 应 向 实 例 授 予 对 Enterprise 许 可 证 堆 叠 的 访 问 权 限 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 Beta 许 可 证 Splunk 的 Beta 版 本 需 要 不 同 的 许 可 证, 此 许 可 证 与 其 他 Splunk 版 本 不 兼 容 此 外, 如 果 您 要 评 估 Beta 版 本 的 Splunk, 使 用 Free 或 Enterprise 许 可 证 时 该 版 本 不 会 运 行 Beta 许 可 证 通 常 启 用 Enterprise 功 能, 但 这 些 功 能 仅 限 在 Beta 版 本 中 使 用 如 果 您 要 评 估 Beta 版 本 的 Splunk, 该 版 本 将 附 带 自 己 的 许 可 证 搜 索 头 的 许 可 证 ( 用 于 分 布 式 搜 索 ) 搜 索 头 是 Splunk 实 例, 将 搜 索 分 布 到 其 他 Splunk 索 引 器 虽 然 搜 索 头 通 常 不 在 本 地 对 任 何 数 据 建 立 索 引, 但 您 仍 想 要 使 用 许 可 证 限 制 对 搜 索 头 的 访 问 没 有 特 别 用 于 搜 索 头 的 特 殊 许 可 证 类 型, 也 就 是 说, 没 有 搜 索 头 许 可 证 但 是, 要 配 置 搜 索 头 必 须 有 Enterprise 许 可 证, 如 何 安 排 搜 索 头 许 可 授 权 取 决 于 Splunk 版 本 : 过 去, 对 于 4.2 之 前 的 版 本,Splunk 建 议 在 每 个 搜 索 头 上 使 用 一 个 单 独 的 转 发 器 许 可 证 这 只 是 因 为 转 发 器 许 可 证 不 允 许 建 立 索 引, 但 访 问 搜 索 头 需 要 验 证 现 在, 对 于 4.2 之 后 的 版 本,Splunk 建 议 不 用 为 每 个 对 等 节 点 分 配 一 个 单 独 的 许 可 证, 而 是 将 搜 索 头 添 加 到 Enterprise 许 可 证 池 中, 即 使 不 需 要 搜 索 头 对 任 何 数 据 建 立 索 引 阅 读 组 堆 叠 池 和 其 他 术 语 以 及 创 建 或 编 辑 许 可 证 池 注 意 : 如 果 您 的 现 有 搜 索 头 已 安 装 4.2 之 前 版 本 的 转 发 器 许 可 证, 则 升 级 后 不 读 取 该 转 发 器 许 可 证 索 引 器 群 集 节 点 的 许 可 证 ( 用 于 索 引 复 制 ) 如 同 任 意 Splunk 部 署, 您 的 许 可 要 求 由 索 引 器 处 理 的 数 据 量 来 驱 动 请 与 您 的 Splunk 销 售 代 表 联 系, 购 买 更 多 的 许 可 量 只 有 个 特 定 于 索 引 复 制 的 许 可 证 问 题 : 57

所 有 群 集 节 点 ( 包 括 主 节 点 对 等 节 点 和 搜 索 头 ) 都 需 要 在 Enterprise 许 可 证 池 中, 即 使 不 需 要 它 们 对 任 何 数 据 建 立 索 引 群 集 节 点 必 须 共 享 相 同 的 许 可 授 权 配 置 只 有 传 入 数 据 用 于 计 算 许 可 证 的 数 据 量, 复 制 的 数 据 不 计 算 在 内 使 用 Free 许 可 证 时 不 能 使 用 索 引 复 制 阅 读 管 理 索 引 器 和 群 集 手 册 中 有 关 系 统 要 求 和 其 他 部 署 注 意 事 项 的 更 多 信 息 组 堆 叠 池 和 其 他 术 语 您 可 以 将 兼 容 Splunk Enterprise 许 可 证 聚 集 成 可 用 许 可 量 的 堆 叠, 然 后 定 义 使 用 从 给 定 堆 叠 许 可 量 的 索 引 器 池 Splunk Free 用 户 : 此 功 能 仅 与 Enterprise 许 可 证 相 关 如 果 您 运 行 Splunk Free 的 独 立 实 例, 则 不 需 要 组 池 和 堆 叠 堆 叠 可 以 将 某 些 Splunk 许 可 证 类 型 聚 集 在 一 起 或 堆 叠 在 一 起, 使 其 可 用 许 可 量 是 单 个 许 可 证 的 许 可 量 的 总 和 这 意 味 着, 随 着 时 间 的 推 移, 您 可 以 在 需 要 时 增 加 您 的 索 引 量 容 量, 而 不 必 换 掉 许 可 证 相 反, 您 只 需 购 买 更 多 的 容 量, 然 后 将 附 加 容 量 添 加 到 适 当 的 堆 叠 组 Enterprise 许 可 证 和 Sales Trial 许 可 证 可 以 堆 叠 在 一 起, 并 且 可 以 互 相 堆 叠 标 准 Splunk 下 载 软 件 包 附 带 的 Enterprise *Trial* 许 可 证 不 得 包 含 在 堆 叠 中 Enterprise Trial 许 可 证 专 门 供 独 立 使 用, 它 自 成 一 组 除 非 您 安 装 了 Enterprise 或 Sales Trial 许 可 证, 否 则 您 将 无 法 创 建 堆 叠 或 定 义 池 以 供 其 他 索 引 器 使 用 Splunk Free 许 可 证 不 能 与 其 他 许 可 证 堆 叠, 包 括 Splunk Free 许 可 证 转 发 器 许 可 证 不 能 与 其 他 许 可 证 堆 叠, 包 括 转 发 器 许 可 证 许 可 证 组 包 含 一 个 或 多 个 堆 叠 堆 叠 只 能 是 一 个 组 的 成 员, 而 且 每 个 Splunk 安 装 中 只 能 有 一 个 组 处 于 活 动 状 态 特 别 是, 这 意 味 着, 给 定 许 可 证 主 服 务 器 每 次 只 能 管 理 一 个 组 类 型 的 许 可 证 池 这 些 组 为 : 池 Enterprise/Sales Trial 组 -- 此 组 允 许 堆 叠 购 买 的 Enterprise 许 可 证 和 Sales Trial 许 可 证 ( 此 类 许 可 证 是 具 有 设 定 到 期 日 期 的 Enterprise 许 可 证, 与 下 载 的 Enterprise Trial 不 同 ) Enterprise Trial 组 -- 此 组 是 首 次 安 装 新 Splunk 实 例 时 的 默 认 组 您 不 能 将 多 个 Enterprise Trial 许 可 证 组 合 成 堆 叠, 然 后 从 该 堆 叠 创 建 池 如 果 您 切 换 到 其 他 组, 则 不 能 再 切 换 回 Enterprise Trial 组 Free 组 -- 此 组 用 于 Splunk Free 的 安 装 当 Enterprise Trial 许 可 证 在 60 天 后 到 期 时, 该 Splunk 实 例 转 换 为 Free 组 您 不 能 将 多 个 Splunk Free 许 可 证 组 合 成 堆 叠, 然 后 从 该 堆 叠 创 建 池 Forwarder 组 -- 此 组 用 于 将 Splunk 实 例 配 置 为 通 用 转 发 器 或 轻 型 转 发 器 这 些 转 发 器 类 型 不 执 行 任 何 索 引 建 立, 因 此 实 际 上 并 不 通 过 管 理 器 中 的 许 可 页 面 进 行 管 理, 但 确 实 属 于 许 可 证 组 如 果 您 将 某 一 Splunk 实 例 的 许 可 证 组 更 改 为 Forwarder 组, 则 假 设 该 Splunk 实 例 配 置 为 转 发 器, 不 对 任 何 数 据 建 立 索 引 有 关 更 多 信 息, 请 参 阅 转 发 器 和 转 发 器 许 可 证 您 可 以 定 义 许 可 量 的 池 ( 其 许 可 量 取 自 给 定 许 可 证 的 许 可 证 堆 叠 ), 同 时 指 定 其 他 索 引 Splunk 实 例 作 为 该 池 的 成 员, 用 于 使 用 和 跟 踪 许 可 量 58

许 可 证 池 由 Splunk 的 一 个 许 可 证 主 服 务 器 和 零 个 或 多 个 许 可 证 从 服 务 器 实 例 组 成, 这 些 实 例 配 置 为 使 用 已 设 置 许 可 证 或 许 可 证 堆 叠 的 许 可 量 许 可 证 从 服 务 器 许 可 证 从 服 务 器 是 一 个 或 多 个 许 可 证 池 的 成 员 许 可 证 从 服 务 器 对 许 可 量 的 访 问 权 限 由 许 可 证 主 服 务 器 控 制 许 可 证 主 服 务 器 一 个 许 可 证 主 服 务 器 控 制 一 个 或 多 个 许 可 证 从 服 务 器 您 可 以 从 许 可 证 主 服 务 器 上 定 义 池 添 加 许 可 容 量 和 管 理 许 可 证 从 服 务 器 安 装 许 可 证 本 主 题 介 绍 如 何 安 装 新 的 许 可 证 您 可 以 在 Splunk 许 可 证 主 服 务 器 上 安 装 多 份 许 可 证 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 有 关 升 级 现 有 许 可 证 的 信 息, 请 参 阅 安 装 手 册 中 的 迁 移 到 新 的 Splunk 许 可 证 添 加 新 许 可 证 要 添 加 新 许 可 证 : 1. 导 航 到 设 置 > 许 可 证 2. 单 击 添 加 许 可 证 3. 单 击 选 择 文 件 并 浏 览 您 的 许 可 证 文 件, 然 后 选 择 该 文 件, 或 者 单 击 直 接 复 制 和 粘 贴 许 可 证 XML... 并 将 许 可 证 文 件 的 文 本 粘 贴 到 所 提 供 的 字 段 中 4. 单 击 安 装 如 果 这 是 您 安 装 的 第 一 份 Enterprise 许 可 证, 则 必 须 重 新 启 动 Splunk 您 的 许 可 证 现 已 安 装 就 绪 配 置 许 可 证 主 服 务 器 本 主 题 介 绍 如 何 将 Splunk 实 例 配 置 为 许 可 证 主 服 务 器 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 许 可 证 主 服 务 器 种 类 许 可 证 主 服 务 器 有 两 种 基 本 类 型 : 独 立 许 可 证 主 服 务 器 如 果 您 具 有 单 个 Splunk 索 引 器, 并 希 望 管 理 其 许 可 证, 则 您 可 以 将 其 作 为 许 可 证 主 服 务 器 来 运 行, 并 在 其 上 面 安 装 一 份 或 多 份 Enterprise 许 可 证, 这 样 它 可 以 将 自 身 作 为 从 许 可 证 服 务 器 来 进 行 管 理 当 您 首 次 下 载 并 安 装 Splunk Enterprise 时, 它 含 有 一 份 为 期 60 天 的 500 MB Enterprise Trial 许 可 证 该 实 例 会 自 动 配 置 为 独 立 许 可 证 主 服 务 器, 您 无 法 针 对 此 类 许 可 证 创 建 池 或 定 义 任 何 许 可 证 从 服 务 器 如 果 您 想 要 创 建 一 个 或 多 个 堆 叠 或 池, 然 后 为 其 分 配 多 个 索 引 器, 则 必 须 购 买 并 安 装 Enterprise 许 可 证 要 安 装 许 可 证, 请 遵 循 本 手 册 中 安 装 许 可 证 的 说 明 中 央 许 可 证 主 服 务 器 59

如 果 您 有 多 个 索 引 器, 并 想 要 从 中 央 位 置 管 理 对 所 购 买 的 许 可 容 量 的 访 问 权 限, 则 可 配 置 中 央 许 可 证 主 服 务 器, 然 后 将 这 些 索 引 器 添 加 为 许 可 证 从 服 务 器 如 果 许 可 证 主 服 务 器 也 是 索 引 器, 则 该 服 务 器 也 是 自 己 的 许 可 证 主 服 务 器, 但 Splunk 建 议, 如 果 您 有 搜 索 头, 可 将 其 指 派 为 许 可 证 主 服 务 器 如 果 您 的 环 境 规 模 很 大, 其 中 配 有 多 个 搜 索 头, 则 您 可 能 想 要 一 些 或 所 有 不 是 许 可 证 主 服 务 器 的 搜 索 头 将 搜 索 分 布 到 许 可 证 主 服 务 器, 有 以 下 两 个 原 因 : 您 可 以 对 照 许 可 证 日 志 运 行 搜 索 如 果 在 搜 索 头 上 出 现 不 寻 常 的 情 况 ( 例 如, 您 的 许 可 证 有 时 间 限 制, 将 在 5 天 后 到 期 ), 则 在 运 行 搜 索 时 可 在 搜 索 头 上 看 到 这 一 情 况, 作 为 信 息 消 息 的 一 部 分 附 加 到 搜 索 结 果 配 置 中 央 许 可 证 主 服 务 器 默 认 情 况 下,Splunk 的 独 立 实 例 是 自 己 的 许 可 证 主 服 务 器 要 配 置 中 央 许 可 证 主 服 务 器, 安 装 一 个 或 多 个 Enterprise 许 可 证 安 装 Enterprise 许 可 证 之 后, 您 可 以 创 建 一 个 或 多 个 堆 叠 和 池, 用 于 访 问 安 装 的 许 可 证, 然 后 从 许 可 证 主 服 务 器 管 理 许 可 证 配 置 许 可 证 从 服 务 器 本 主 题 介 绍 如 何 将 Splunk 索 引 器 配 置 为 许 可 证 从 服 务 器 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 有 关 设 置 许 可 证 主 服 务 器 的 说 明, 请 参 阅 本 手 册 中 的 配 置 许 可 证 主 服 务 器 有 关 从 命 令 行 执 行 这 些 任 务 的 帮 助, 请 参 阅 本 手 册 中 的 从 CLI 管 理 许 可 证 1. 在 想 要 配 置 为 许 可 证 从 服 务 器 的 索 引 器 上, 登 录 Splunk Web, 然 后 导 航 到 设 置 > 许 可 授 权 2. 单 击 更 改 为 从 服 务 器 3. 将 单 选 按 钮 从 将 此 Splunk 实 例 < 此 索 引 器 > 指 定 为 许 可 证 主 服 务 器 切 换 到 将 其 他 Splunk 实 例 指 定 为 许 可 证 主 服 务 器 4. 指 定 此 许 可 证 从 服 务 器 应 报 告 的 许 可 证 主 服 务 器 您 必 须 提 供 IP 地 址 或 主 机 名 和 Splunk 管 理 端 口 ( 默 认 为 8089) 注 意 : 可 以 按 IPv4 或 IPv6 格 式 指 定 IP 地 址 有 关 IPv6 支 持 的 详 细 信 息, 请 参 阅 本 手 册 中 的 配 置 Splunk 以 使 用 IPv6 5. 单 击 保 存 如 果 此 实 例 还 未 安 装 Enterprise 许 可 证, 则 必 须 重 新 启 动 Splunk 此 索 引 器 现 在 已 配 置 为 许 可 证 从 服 务 器 要 切 换 回 去, 导 航 到 设 置 > 许 可 授 权, 然 后 单 击 切 换 到 本 地 主 服 务 器 如 果 此 实 例 还 未 安 装 Enterprise 许 可 证, 要 使 此 更 改 生 效, 必 须 重 新 启 动 Splunk 创 建 或 编 辑 许 可 证 池 本 主 题 介 绍 如 何 从 一 个 或 多 个 已 安 装 许 可 证 创 建 许 可 证 池, 以 及 如 何 编 辑 现 有 许 可 证 池 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 阅 读 安 装 许 可 证, 了 解 有 关 安 装 许 可 证 的 更 多 信 息 有 关 从 命 令 行 执 行 这 些 任 务 的 帮 助, 请 参 阅 本 手 册 中 的 从 CLI 管 理 许 可 证 当 您 首 次 下 载 并 安 装 Splunk 时, 它 含 有 一 份 为 期 60 天 的 500 MB Enterprise Trial 许 可 证 该 Splunk 实 例 会 自 动 配 置 为 独 立 许 可 证 主 服 务 器, 您 无 法 针 对 此 类 许 可 证 创 建 池 或 定 义 任 何 许 可 证 从 服 务 器 如 果 您 想 要 创 建 一 个 或 多 个 堆 叠 或 池, 然 后 为 其 分 配 多 个 索 引 器, 则 必 须 购 买 并 安 装 Enterprise 许 可 证 在 设 置 > 许 可 授 权 的 下 例 中, 全 新 的 Splunk 安 装 上 刚 刚 安 装 了 100 MB Enterprise 许 可 证 : 60

当 您 在 全 新 的 Splunk 服 务 器 上 安 装 Enterprise 许 可 证 时,Splunk 会 自 动 从 中 创 建 Enterprise 许 可 证 堆 叠 ( 也 称 为 Splunk Enterprise 堆 叠 ), 并 为 其 定 义 默 认 的 许 可 证 池 ( 称 为 auto_generated_pool_enterprise) 该 默 认 池 的 默 认 配 置 会 将 任 何 连 接 到 此 许 可 证 主 服 务 器 的 许 可 证 从 服 务 器 添 加 到 池 中 您 可 以 编 辑 该 池 以 更 改 此 配 置, 为 其 添 加 更 多 的 索 引 器, 或 从 此 堆 叠 创 建 新 的 许 可 证 池 要 编 辑 现 有 的 许 可 证 池 1. 在 要 编 辑 的 许 可 证 池 的 旁 边, 单 击 编 辑 这 将 显 示 编 辑 许 可 证 池 页 面 2. 根 据 需 要, 更 改 分 配 或 改 变 如 何 允 许 索 引 器 访 问 此 池 您 还 可 以 更 改 池 的 描 述, 但 不 能 更 改 池 的 名 称 3. 单 击 提 交 要 创 建 新 许 可 证 池 重 要 提 示 : 要 想 能 够 从 默 认 Enterprise 堆 叠 创 建 新 许 可 证 池, 必 须 使 一 些 索 引 量 可 用, 您 可 以 编 辑 auto_generated_pool_enterprise 池 并 减 少 其 分 配, 也 可 以 整 个 删 除 池 单 击 池 名 称 旁 的 删 除 来 删 除 池 1. 单 击 页 面 底 部 的 这 将 显 示 创 建 新 许 可 证 池 页 面 2. 指 定 池 的 名 称, 也 可 以 指 定 池 的 描 述 3. 设 置 该 池 的 分 配 分 配 是 指 整 个 堆 叠 的 许 可 量 中 可 供 属 于 该 池 的 索 引 器 使 用 的 许 可 量 分 配 可 以 是 特 定 值, 也 可 以 是 堆 叠 中 的 整 个 可 用 索 引 量 ( 只 要 没 有 分 配 给 任 何 其 他 池 ) 4. 指 定 索 引 器 如 何 访 问 该 池 这 些 选 项 为 : 环 境 中 所 有 已 配 置 为 许 可 证 从 服 务 器 的 索 引 器 都 能 连 接 到 此 许 可 证 池 并 使 用 其 中 的 许 可 证 分 配 只 有 您 指 定 的 索 引 器 才 能 连 接 到 此 池 并 使 用 其 中 的 许 可 证 分 配 61

5. 要 允 许 从 池 绘 制 特 定 的 索 引 器, 请 单 击 可 用 索 引 器 列 表 中 索 引 器 名 称 旁 边 的 加 号, 以 将 其 移 动 到 关 联 的 索 引 器 列 表 中 向 许 可 证 池 添 加 索 引 器 本 主 题 介 绍 如 何 向 现 有 许 可 证 池 添 加 索 引 器 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 索 引 器 如 何 访 问 许 可 证 池 对 许 可 证 池 的 堆 叠 的 访 问 由 该 池 的 许 可 证 主 服 务 器 来 控 制 通 过 指 定 许 可 证 主 服 务 器 的 URI 和 管 理 端 口, 可 以 将 池 配 置 为 仅 允 许 访 问 特 定 索 引 器, 也 可 以 将 池 配 置 为 允 许 访 问 与 其 连 接 的 所 有 索 引 器 添 加 特 定 索 引 器 按 照 以 下 两 个 基 本 步 骤 将 特 定 索 引 器 访 问 权 限 授 予 给 定 许 可 证 池 的 堆 叠 : 1. 将 索 引 器 配 置 为 许 可 证 从 服 务 器, 并 为 其 提 供 许 可 证 主 服 务 器 的 URI 和 管 理 端 口 为 此, 应 遵 循 本 手 册 的 配 置 许 可 证 从 服 务 器 中 的 说 明 2. 在 许 可 证 管 理 器 上 配 置 池, 以 接 受 来 自 该 索 引 器 的 访 问 为 此, 遵 循 创 建 或 编 辑 许 可 证 池 中 的 说 明 以 编 辑 许 可 证 池, 选 择 单 选 按 钮 选 项 以 仅 允 许 访 问 特 定 索 引 器, 然 后 在 可 用 索 引 器 列 表 中 单 击 索 引 器 名 称 旁 边 的 加 号, 以 便 将 其 移 动 到 关 联 的 索 引 器 列 表 中 添 加 任 何 连 接 的 索 引 器 遵 循 以 下 步 骤, 使 所 有 连 接 到 此 许 可 证 主 服 务 器 的 索 引 器 均 有 权 访 问 给 定 许 可 证 池 的 堆 叠 : 1. 将 索 引 器 配 置 为 许 可 证 从 服 务 器, 并 为 其 提 供 许 可 证 主 服 务 器 的 URI 和 管 理 端 口 为 此, 应 遵 循 本 手 册 的 配 置 许 可 证 从 服 务 器 中 的 说 明 2. 在 许 可 证 主 服 务 器 上 配 置 池, 以 接 受 来 自 任 何 索 引 器 的 访 问 为 此, 遵 循 创 建 或 编 辑 许 可 证 池 中 的 说 明 以 编 辑 许 可 证 池, 然 后 选 择 单 选 按 钮 选 项 以 允 许 从 任 何 连 接 的 索 引 器 进 行 访 问 从 CLI 管 理 许 可 证 本 主 题 介 绍 如 何 使 用 Splunk CLI 监 视 和 管 理 Splunk 许 可 证 在 您 继 续 之 前, 请 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 本 主 题 仅 涵 盖 与 Splunk 的 许 可 证 相 关 对 象 交 互 时 可 以 使 用 的 CLI 命 令 其 中 一 些 命 令 还 有 您 可 以 为 每 个 对 象 指 定 的 必 填 参 数 和 可 选 参 数 有 关 完 整 的 语 法 和 用 法 示 例, 请 参 阅 Splunk 的 CLI 帮 助 有 关 使 用 Splunk 命 令 行 界 面 的 简 介, 请 阅 读 本 手 册 中 的 关 于 CLI 有 关 通 过 Splunk 的 REST API 管 理 许 可 证 的 信 息, 请 参 阅 REST API 参 考 手 册 中 的 许 可 证 CLI 许 可 证 命 令 和 对 象 使 用 Splunk CLI, 您 可 以 添 加 编 辑 列 出 和 删 除 许 可 证 和 许 可 证 相 关 对 象 可 用 命 令 为 : 命 令 对 象 描 述 add edit list licenses, licenser-pools licenser-localslave, licenser-pools licenser-groups, licenser-localslave, licensermessages, licenser-pools, licenser-slaves, licenser-stacks, licenses 将 许 可 证 或 许 可 证 池 添 加 到 许 可 证 堆 叠 仅 当 您 拥 有 Enterprise 许 可 证 时, 此 命 令 才 可 用 编 辑 许 可 证 堆 叠 中 本 地 许 可 证 从 服 务 器 节 点 或 许 可 证 池 的 属 性 仅 当 您 拥 有 Enterprise 许 可 证 时, 此 命 令 才 可 用 根 据 指 定 的 许 可 证 相 关 对 象, 列 出 该 对 象 或 该 对 象 的 成 员 的 属 性 remove licenser-pools, licenses 从 许 可 证 堆 叠 中 删 除 许 可 证 或 许 可 证 池 62

许 可 证 相 关 对 象 为 : 对 象 描 述 licenser-groups 您 可 以 切 换 到 的 不 同 许 可 证 组 licenser-localslave 本 地 索 引 器 的 配 置 licenser-messages 关 于 您 的 许 可 证 状 态 的 告 警 或 警 告 licenser-pools 池 或 虚 拟 许 可 证 一 个 堆 叠 可 以 分 割 成 各 种 池, 多 个 从 服 务 器 共 享 每 个 池 的 配 额 licenser-slaves 已 联 系 到 主 服 务 器 的 所 有 从 服 务 器 licenser-stacks 此 对 象 代 表 许 可 证 堆 叠 堆 叠 包 含 相 同 类 型 的 许 可 证, 可 累 加 licenses 此 Splunk 实 例 的 所 有 许 可 证 常 用 许 可 证 相 关 任 务 下 面 给 出 常 用 许 可 证 相 关 任 务 的 示 例 管 理 许 可 证 要 将 新 许 可 证 添 加 到 许 可 证 堆 叠, 指 定 许 可 证 文 件 的 路 径 :./splunk add licenses /opt/splunk/etc/licenses/enterprise/enterprise.lic 要 列 出 许 可 证 堆 叠 中 的 所 有 许 可 证 :./splunk list licenses List 还 显 示 每 个 许 可 证 的 属 性, 包 括 它 启 用 的 功 能 (features) 它 属 于 的 许 可 证 组 和 堆 叠 (group_id, stack_id) 它 允 许 的 索 引 配 额 (quota) 以 及 对 每 个 许 可 证 均 唯 一 的 许 可 证 密 钥 (license_hash) 如 果 许 可 证 期 满, 您 还 可 以 从 许 可 证 堆 叠 中 删 除 它 要 从 许 可 证 堆 叠 中 删 除 许 可 证, 指 定 许 可 证 的 哈 希 值 :./splunk remove licenses BM+S8VetLnQEb1F+5Gwx9rR4M4Y91AkIE=781882C56833F36D 管 理 许 可 证 池 您 可 以 从 许 可 证 堆 叠 中 的 一 个 或 多 个 许 可 证 创 建 许 可 证 池 ( 如 果 您 有 Enterprise 许 可 证 ) 基 本 上, 一 个 许 可 证 堆 叠 可 以 划 分 为 多 个 许 可 证 池 每 个 池 可 以 拥 有 多 个 从 许 可 证 服 务 器, 它 们 共 享 该 池 的 配 额 要 查 看 所 有 许 可 证 堆 叠 中 的 所 有 许 可 证 池 :./splunk list licenser-pools 要 将 某 个 许 可 证 池 添 加 到 堆 叠, 您 需 要 : 命 名 该 池, 指 定 您 要 添 加 到 的 堆 叠, 并 指 定 要 分 配 到 该 池 的 索 引 量 :./splunk add licenser-pools pool01 -quota 10mb -slaves guid1,guid2 -stack_id enterprise 您 还 可 以 指 定 该 池 和 作 为 其 成 员 的 许 可 证 从 服 务 器 的 描 述 ( 均 为 可 选 ) 您 可 以 编 辑 许 可 证 池 的 描 述 索 引 配 额 和 许 可 证 从 服 务 器 :./splunk edit licenser-pools pool01 -description "Test" -quota 15mb -slaves guid3,guid4 -append_slaves true 这 主 要 是 添 加 对 池 的 描 述 ( Test ), 将 配 额 从 10MB 更 改 为 15MB, 向 该 池 添 加 许 可 证 从 服 务 器 guid3 和 guid4 池 ( 而 不 是 覆 盖 或 取 代 guid1 和 guid2) 要 从 堆 叠 中 删 除 许 可 证 池, 应 指 定 名 称 :./splunk remove licenser-pools pool01 管 理 许 可 证 从 服 务 器 63

许 可 证 从 服 务 器 是 一 个 或 多 个 许 可 证 池 的 成 员 许 可 证 从 服 务 器 对 许 可 量 的 访 问 权 限 由 许 可 证 主 服 务 器 控 制 要 列 出 所 有 联 系 过 许 可 证 主 服 务 器 的 许 可 证 从 服 务 器 :./splunk list licenser-slaves 要 列 出 本 地 从 许 可 证 服 务 器 的 所 有 属 性 :./splunk list licenser-localslave 要 添 加 许 可 证 从 服 务 器, 应 编 辑 该 本 地 许 可 证 从 服 务 器 节 点 的 属 性 ( 指 定 splunkd 许 可 证 主 服 务 器 实 例 的 URI 或 'self'):./splunk edit licenser-localslave -master_uri 'https://master:port' 监 视 许 可 证 状 态 您 可 以 使 用 list 命 令 来 查 看 有 关 许 可 证 状 态 的 消 息 ( 告 警 或 警 告 )./splunk list licenser-messages 管 理 Splunk 许 可 证 管 理 许 可 证 本 主 题 介 绍 如 何 管 理 Splunk Enterprise 许 可 证 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 有 关 从 命 令 行 执 行 其 中 一 些 任 务 的 帮 助, 请 参 阅 本 手 册 中 的 从 CLI 管 理 许 可 证 有 关 升 级 现 有 许 可 证 的 信 息, 请 参 阅 安 装 手 册 中 的 迁 移 到 新 的 Splunk 许 可 证 删 除 许 可 证 如 果 某 一 许 可 证 已 到 期, 您 可 以 删 除 它 要 删 除 一 个 或 多 个 许 可 证 : 1. 在 许 可 证 主 服 务 器 上, 导 航 到 系 统 > 许 可 授 权 2. 单 击 您 要 删 除 的 许 可 证 旁 边 的 删 除 3. 再 次 单 击 删 除 确 认 注 意 : 您 不 能 删 除 许 可 证 主 服 务 器 上 的 许 可 证 列 表 中 的 最 后 一 个 许 可 证 查 看 许 可 证 使 用 情 况 您 可 以 通 过 许 可 证 使 用 情 况 报 告 视 图 监 视 您 的 部 署 中 的 许 可 证 使 用 情 况 访 问 系 统 > 许 可 授 权 > 使 用 情 况 报 表 中 的 视 图 请 阅 读 下 一 章 中 的 许 可 证 使 用 情 况 报 告 视 图 以 获 得 更 多 信 息 关 于 许 可 证 违 规 本 主 题 介 绍 许 可 证 违 规 问 题 以 及 这 些 问 题 如 何 发 生 和 如 何 解 决 在 您 继 续 之 前, 您 可 能 需 要 阅 读 这 些 主 题 : 阅 读 本 手 册 中 的 Splunk 许 可 授 权 如 何 工 作 以 获 得 有 关 Splunk 许 可 授 权 的 简 介 阅 读 本 手 册 中 的 组 堆 叠 池 和 其 他 术 语 以 获 得 有 关 Splunk 许 可 证 术 语 的 详 细 信 息 许 可 证 违 规 和 警 告 是 什 么? 64

当 您 超 过 您 的 许 可 证 所 允 许 的 最 大 索 引 量 时, 将 发 生 警 告 和 违 规 如 果 您 在 任 意 一 个 日 历 日 超 过 您 的 日 许 可 量, 您 将 收 到 违 规 警 告 该 消 息 将 持 续 14 天 如 果 您 在 过 去 的 30 天 内,Enterprise 许 可 证 收 到 5 次 或 更 多 警 告,Free 许 可 证 收 到 3 次 警 告, 您 的 许 可 证 即 出 现 违 规 问 题, 则 仅 对 违 规 的 池 禁 用 搜 索 只 要 所 有 池 的 许 可 证 使 用 总 量 不 超 过 许 可 证 主 服 务 器 的 许 可 证 配 额 总 数, 其 他 池 便 仍 可 搜 索, 不 受 影 响 如 果 您 在 先 前 的 30 天 内 收 到 的 警 告 次 数 小 于 5 次 (Enterprise) 或 3 次 (Free), 或 者 如 果 您 应 用 临 时 重 置 许 可 证 ( 仅 可 用 于 Enterprise), 则 恢 复 搜 索 功 能 要 获 得 重 置 许 可 证, 请 与 您 的 销 售 代 表 联 系 有 关 如 何 应 用 该 许 可 证 的 说 明, 请 参 阅 安 装 手 册 注 意 : 即 使 发 生 许 可 证 违 规, 摘 要 索 引 量 也 不 用 于 计 算 许 可 证, 因 为 摘 要 索 引 将 如 任 何 其 他 非 内 部 搜 索 行 为 一 样 停 止 下 来 如 果 您 收 到 许 可 证 警 告, 直 到 午 夜 前 ( 按 许 可 证 主 服 务 器 上 的 时 间 计 算 ), 您 都 可 解 决 此 问 题, 否 则 警 告 将 计 入 过 去 30 天 内 的 警 告 总 数 中 在 许 可 证 违 规 期 间 : Splunk 不 停 止 对 数 据 建 立 索 引 Splunk 仅 在 超 过 许 可 量 时 阻 止 搜 索 不 禁 用 对 _internal 索 引 进 行 的 搜 索 这 意 味 着, 您 仍 可 访 问 索 引 状 态 仪 表 板, 或 者 您 仍 可 对 _internal 运 行 搜 索 以 诊 断 许 可 问 题 许 可 证 警 告 的 结 构 如 果 某 一 池 中 的 索 引 器 超 过 分 配 给 该 池 的 许 可 量, 则 会 看 到 横 跨 整 个 Splunk Web 顶 部 的 色 警 告 横 幅 : 单 击 横 幅 中 的 链 接 可 转 到 设 置 > 许 可 授 权, 相 应 警 告 显 示 在 该 页 面 的 告 警 部 分 下 单 击 警 告 以 获 得 有 关 该 警 告 的 更 多 信 息 发 生 违 规 行 为 时, 在 许 可 证 从 服 务 器 上 也 显 示 类 似 的 横 幅 以 下 列 出 将 生 成 许 可 告 警 的 一 些 情 况 : 当 某 一 从 服 务 器 孤 立 存 在 时, 将 显 示 告 警 ( 短 暂 显 示, 可 在 午 夜 之 前 修 复 ) 当 某 一 池 已 用 尽 时, 将 显 示 告 警 ( 短 暂 显 示, 可 在 午 夜 之 前 修 复 ) 当 某 一 堆 叠 已 用 尽 时, 将 显 示 告 警 ( 短 暂 显 示, 可 在 午 夜 之 前 修 复 ) 当 向 一 个 或 多 个 从 服 务 器 发 出 警 告 时, 将 显 示 告 警 ( 在 最 近 的 30 天 内, 只 要 警 告 仍 旧 有 效 就 会 一 直 存 在 ) 关 于 许 可 证 主 服 务 器 和 许 可 证 从 服 务 器 之 间 的 连 接 在 配 置 了 许 可 证 主 服 务 器 实 例, 并 为 其 添 加 了 许 可 证 从 服 务 器 之 后, 许 可 证 从 服 务 器 每 分 钟 会 向 许 可 证 主 服 务 器 告 知 一 次 其 使 用 情 况 如 果 许 可 证 主 服 务 器 发 生 故 障 或 由 于 某 种 原 因 无 法 连 接 到 许 可 证 主 服 务 器, 许 可 证 从 服 务 器 会 启 动 72 小 时 计 时 器 如 果 许 可 证 从 服 务 器 连 续 72 小 时 无 法 与 许 可 证 主 服 务 器 通 信, 则 许 可 证 从 服 务 器 上 的 搜 索 操 作 将 被 阻 止 ( 仍 然 继 续 执 行 索 引 操 作 ) 用 户 将 无 法 搜 索 许 可 证 从 服 务 器 上 的 索 引 数 据, 除 非 可 以 再 次 连 接 到 许 可 证 主 服 务 器 要 想 了 解 是 否 有 许 可 证 从 服 务 器 不 能 连 接 许 可 证 主 服 务 器, 可 在 splunkd.log 或 _internal 索 引 中 查 找 包 含 failed to transfer rows 的 事 件 如 何 避 免 许 可 证 违 规 要 避 免 许 可 证 违 规, 监 视 您 的 许 可 证 使 用 情 况, 同 时 确 保 您 有 足 够 的 许 可 量 来 支 持 如 果 您 没 有 足 够 的 许 可 量, 则 需 要 增 加 许 可 证 或 减 少 索 引 量 分 布 式 管 理 控 制 台 包 含 您 可 以 启 用 的 告 警, 包 括 监 视 许 可 证 使 用 情 况 的 告 警 请 参 阅 分 布 式 管 理 控 制 台 手 册 中 的 平 台 告 警 使 用 许 可 证 使 用 情 况 报 告 来 查 看 有 关 您 部 署 中 故 障 排 除 索 引 量 的 详 细 信 息 请 阅 读 下 一 章 中 的 许 可 证 使 用 情 况 报 表 视 图 以 获 得 相 关 信 息 纠 正 许 可 证 警 告 如 果 Splunk 要 求 您 在 午 夜 之 前 纠 正 许 可 证 警 告, 那 么 很 可 能 您 已 经 超 出 了 当 天 的 配 额 这 称 为 软 警 告 每 日 许 可 证 配 额 将 在 午 夜 ( 此 时 软 警 告 将 成 为 硬 警 告 ) 重 置 您 必 须 在 此 之 前 解 决 这 个 问 题, 并 且 还 要 确 保 明 天 不 会 超 过 此 配 额 65

对 数 据 创 建 索 引 之 后, 便 无 法 取 消 数 据 的 索 引, 从 而 使 您 的 许 可 证 有 回 旋 余 地 您 需 要 以 下 面 两 种 方 式 之 一 来 获 得 额 外 的 许 可 证 空 间 : 购 买 更 大 的 许 可 证 重 新 排 列 许 可 证 池 ( 如 果 某 个 池 存 在 多 余 的 许 可 证 空 间 ) 如 果 您 不 能 采 用 任 何 一 种 方 式, 则 通 过 使 用 更 少 的 许 可 证 来 阻 止 未 来 出 现 警 告 请 参 阅 许 可 证 使 用 情 况 报 表 视 图 以 了 解 哪 些 数 据 源 对 您 的 配 额 有 最 大 贡 献 确 定 产 生 数 据 问 题 的 主 要 原 因 后, 您 可 以 决 定 是 否 需 要 它 发 出 的 所 有 数 据 如 果 不 需 要, 请 阅 读 转 发 数 据 手 册 中 的 发 送 和 过 滤 数 据 问 答 有 什 么 问 题 吗? 请 访 问 Splunk Answers 以 查 看 在 Splunk 社 区 中 对 于 许 可 证 违 规 有 哪 些 相 关 的 问 题 和 解 答 交 换 许 可 证 主 服 务 器 您 已 配 置 了 一 个 许 可 证 池 如 果 要 将 许 可 证 从 服 务 器 中 的 一 台 服 务 器 变 成 池 的 许 可 证 主 服 务 器, 该 如 何 操 作? 本 主 题 将 提 供 相 关 的 操 作 步 骤 总 的 来 说, 您 先 将 一 台 从 服 务 器 提 升 为 主 服 务 器 然 后 将 旧 的 主 服 务 器 降 级 为 从 服 务 器 详 细 信 息 如 下 1. 从 许 可 授 权 池 中 删 除 新 的 许 可 证 主 服 务 器, 然 后 将 其 设 置 为 主 服 务 器 登 录 到 许 可 证 从 服 务 器 ( 该 服 务 器 将 成 为 新 的 主 服 务 器 ) 导 航 到 设 置 > 许 可 证 按 照 提 示 将 其 配 置 为 新 的 许 可 证 主 服 务 器 重 新 启 动 Splunk 2. 在 新 的 许 可 证 主 服 务 器 中, 添 加 许 可 证 密 钥 检 查 许 可 证 密 钥 是 否 与 旧 的 许 可 证 主 服 务 器 相 匹 配 3. 使 池 中 的 其 他 许 可 证 从 服 务 器 指 向 新 的 许 可 证 主 服 务 器 在 每 台 从 服 务 器 上, 导 航 到 设 置 > 许 可 授 权 更 改 许 可 证 主 服 务 器 URI 以 指 向 新 的 许 可 证 主 服 务 器, 然 后 单 击 保 存 在 刚 刚 更 新 了 其 条 目 的 许 可 证 从 服 务 器 上 重 新 启 动 Splunk 4. 检 查 其 中 一 台 许 可 证 从 服 务 器 是 否 已 连 接 到 新 的 许 可 证 主 服 务 器 5. 将 旧 的 许 可 证 主 服 务 器 降 级 到 从 服 务 器 : 在 旧 的 许 可 证 主 服 务 器 上 导 航 到 设 置 > 许 可 授 权 > 更 改 为 从 服 务 器 忽 略 重 新 启 动 提 示 在 更 改 为 从 服 务 器 屏 幕 中, 使 新 的 从 服 务 器 指 向 新 的 许 可 证 主 服 务 器 ( 指 定 其 他 Splunk 实 例 作 为 许 可 证 主 服 务 器 ) 6. 在 新 的 许 可 证 从 服 务 器 上, 停 止 Splunk 并 删 除 /opt/splunk/etc/licenses/enterprise/ 文 件 夹 下 的 旧 许 可 证 文 件 ( 如 若 不 然, 许 可 证 将 出 现 重 复, 系 统 会 发 出 错 误 和 / 或 警 告 信 息 ) 7. 在 新 的 许 可 证 从 服 务 器 上, 启 动 Splunk 并 确 认 它 已 连 接 到 新 的 许 可 证 主 服 务 器 许 可 证 使 用 情 况 报 表 视 图 关 于 Splunk Enterprise 的 许 可 证 使 用 情 况 报 表 视 图 许 可 证 使 用 情 况 报 表 视 图 介 绍 许 可 证 使 用 情 况 报 表 视 图 (License Usage Report View, LURV) 是 Splunk 中 针 对 与 许 可 容 量 和 索 引 量 有 关 的 问 题 的 新 合 并 资 源 它 提 供 了 一 种 简 单 而 快 速 的 确 定 Splunk 许 可 证 使 用 量 的 方 法 可 以 直 接 从 Splunk 授 权 页 立 即 查 看 每 日 Splunk 索 引 量 以 及 任 何 许 可 证 警 告 另 外, 还 可 获 得 最 近 30 天 的 Splunk 使 用 情 况 综 合 视 图, 并 带 有 多 个 报 表 选 项 LURV 可 显 示 许 可 证 池 的 许 可 证 使 用 情 况 详 细 信 息 此 仪 表 板 从 逻 辑 上 分 为 两 部 分 : 一 部 分 在 当 前 滚 动 窗 口 中 显 示 当 日 的 许 可 证 使 用 情 况 信 息 以 及 任 何 警 告 信 息 ; 另 一 部 分 显 示 过 去 30 天 内 的 历 史 许 可 证 使 用 情 况 对 于 LURV 中 的 每 个 面 板, 可 以 单 击 面 板 左 下 角 的 在 搜 索 中 打 开 这 允 许 您 与 搜 索 进 行 交 互 66

访 问 许 可 证 使 用 情 况 报 表 视 图 在 设 置 > 许 可 授 权 > 使 用 情 况 报 表 中 找 到 LURV 在 部 署 的 许 可 证 主 服 务 器 上 访 问 LURV ( 如 果 部 署 中 只 有 一 个 实 例, 则 此 实 例 就 是 其 自 己 的 许 可 证 主 服 务 器 ) 今 天 选 项 卡 第 一 次 进 入 LURV 时, 会 在 今 天 选 项 卡 下 看 到 五 个 面 板 这 些 面 板 显 示 了 尚 未 结 束 的 当 天 的 许 可 证 使 用 情 况 状 态 以 及 警 告 无 论 许 可 证 主 服 务 器 设 置 在 哪 个 时 区, 对 于 许 可 证, 每 天 的 结 束 时 间 都 是 午 夜 今 天 选 项 卡 中 的 所 有 面 板 都 查 询 Splunk REST API 今 天 的 许 可 证 使 用 情 况 面 板 此 面 板 可 评 估 当 天 的 许 可 证 使 用 情 况 以 及 跨 所 有 池 的 每 日 许 可 证 总 配 额 每 个 池 面 板 的 今 天 许 可 证 使 用 情 况 此 面 板 可 显 示 每 个 池 的 许 可 证 使 用 情 况 以 及 每 个 池 的 每 日 许 可 证 配 额 今 天 每 个 池 面 板 使 用 的 每 日 许 可 证 配 额 的 百 分 比 此 面 板 可 显 示 已 由 每 个 池 编 入 索 引 的 每 日 许 可 证 配 额 的 百 分 比 百 分 比 以 对 数 标 度 进 行 显 示 池 使 用 情 况 警 告 面 板 此 面 板 可 显 示 每 个 池 在 过 去 30 天 中 ( 或 自 应 用 了 最 后 一 个 许 可 证 重 设 密 钥 以 来 ) 所 收 到 的 软 警 告 和 硬 警 告 请 阅 读 本 手 册 中 的 关 于 许 可 证 违 规, 以 了 解 有 关 软 警 告 和 硬 警 告 以 及 许 可 证 违 规 的 详 细 信 息 从 服 务 器 使 用 情 况 警 告 面 板 对 于 每 台 许 可 证 从 服 务 器, 此 面 板 显 示 : 警 告 数 目 池 成 员 资 格 以 及 从 服 务 器 是 否 违 规 前 30 天 选 项 卡 单 击 前 30 天 选 项 卡 即 可 看 到 五 个 以 上 面 板 和 个 下 拉 选 项 这 些 面 板 中 的 所 有 可 视 化 元 素 限 制 了 显 示 出 来 的 主 机 来 源 来 源 类 型 索 引 池 ( 拆 分 所 依 据 的 任 何 字 段 ) 的 数 量 如 果 其 中 任 何 一 个 字 段 有 10 个 以 上 不 同 值, 第 10 个 之 后 的 值 将 被 标 记 为 其 他 我 们 已 使 用 timechart 将 所 显 示 出 来 的 值 的 最 大 数 量 设 置 为 10 希 望 这 在 大 多 数 时 候 能 给 您 提 供 足 够 多 的 信 息, 不 会 令 可 视 化 元 素 难 以 读 懂 这 些 面 板 所 使 用 的 数 据 都 是 使 用 license_usage.log,type=rolloversummary( 每 日 总 计 ) 集 合 来 的 如 果 您 的 许 可 证 主 服 务 器 中 的 时 间 达 到 本 地 午 夜, 它 不 会 为 当 天 生 成 RolloverSummary 事 件, 您 不 会 在 这 些 面 板 中 看 到 当 天 的 数 据 拆 分 依 据 : 无 拆 分 依 据 索 引 器 池 这 三 个 拆 分 依 据 选 项 不 需 另 行 说 明 请 阅 读 本 手 册 前 面 章 节 中 的 向 许 可 证 池 添 加 索 引 器 和 许 可 证 池 拆 分 依 据 : 来 源 来 源 类 型 主 机 索 引 关 于 这 四 个 拆 分 依 据 字 段 有 两 件 事 您 应 该 了 解 : 报 表 加 速 和 压 缩 67

报 表 加 速 按 数 据 来 源 来 源 类 型 和 主 机 拆 分 使 用 license_usage.log type=usage, 可 以 每 隔 一 分 钟 提 供 一 次 实 时 使 用 情 况 统 计 数 据 我 们 建 议 在 您 的 许 可 证 主 服 务 器 上 加 速 支 配 这 些 拆 分 依 据 选 项 的 报 表 ( 如 果 没 有 加 速, 搜 索 会 相 当 慢, 因 为 它 在 30 天 的 数 据 ( 以 每 分 钟 一 个 事 件 的 速 率 生 成 ) 中 搜 索 -- 事 件 数 量 很 大!) 默 认 情 况 下 对 于 此 报 表, 加 速 处 于 禁 用 状 态 要 加 速 报 表, 请 单 击 在 选 择 其 中 一 个 拆 分 依 据 值 时 显 示 在 信 息 消 息 中 的 链 接 也 可 以 在 设 置 > 搜 索 和 报 表 > 许 可 证 使 用 情 况 数 据 立 方 体 中 找 到 加 速 工 作 流 请 阅 读 报 表 手 册 中 的 加 速 报 表 请 注 意, 在 首 次 选 择 报 表 加 速 后, 它 可 能 会 花 费 长 达 10 分 钟 的 时 间 来 开 始 然 后 Splunk 将 花 费 一 些 时 间 来 构 建 加 速 摘 要 -- 一 般 为 分 钟 到 十 分 钟, 具 体 取 决 于 编 入 摘 要 的 数 据 量 只 有 在 加 速 完 成 构 建 后, 对 于 这 些 拆 分 依 据 选 项 才 会 有 更 快 速 的 性 能 但 在 第 一 次 运 行 加 速 后, 后 续 报 表 将 依 据 已 有 内 容 构 建, 以 将 报 表 保 持 在 最 新 状 态 ( 因 而 报 表 的 速 度 会 加 快 ) 您 应 只 在 第 一 次 启 用 报 表 加 速 时 会 等 待 较 长 时 间 重 要 提 示 : 请 仅 在 许 可 证 主 服 务 器 上 启 用 报 表 加 速 使 用 auto_summarize 在 savedsearches.conf 中 配 置 加 速 的 运 行 频 率 默 认 每 隔 10 分 钟 运 行 一 次 请 频 繁 运 行, 以 保 持 工 作 负 荷 小 而 稳 定 我 们 在 3 分 钟 处 每 10 分 钟 设 置 一 个 cron 可 以 在 auto_summarize.cron_schedule 中 配 置 此 设 置 压 缩 每 个 索 引 器 会 定 期 向 许 可 证 管 理 器 报 告 已 编 入 索 引 的 数 据 状 态 : 按 来 源 来 源 类 型 主 机 和 索 引 划 分 如 果 不 同 ( 来 源 来 源 类 型 主 机 索 引 ) 元 组 的 数 量 超 过 squash_threshold,splunk 会 压 缩 {host, source} 值, 仅 报 告 按 {sourcetype, index} 的 划 分 这 可 防 止 内 存 和 license_usage.log 行 快 速 增 长 由 于 对 其 他 字 段 的 压 缩, 仅 按 来 源 类 型 和 索 引 的 拆 分 可 确 保 获 得 完 整 的 报 表 ( 每 字 节 ) 如 果 这 两 个 字 段 有 许 多 不 同 值, 则 对 于 按 来 源 和 主 机 的 拆 分, 不 保 证 一 定 能 获 得 完 整 的 报 表 Splunk 会 报 告 编 入 索 引 的 完 整 数 量, 而 不 是 名 称 所 以 您 会 失 去 粒 度 ( 也 就 是 不 知 道 是 谁 消 耗 了 这 个 数 量 ), 但 仍 知 道 所 消 耗 的 数 量 为 多 少 可 以 在 server.conf 的 [license] 段 落 中 使 用 squash_threshold 设 置 配 置 压 缩 ( 但 要 慎 重 ) 可 以 增 加 此 值, 但 这 样 做 可 能 会 使 用 大 量 内 存, 所 以 请 在 更 改 前 咨 询 Splunk 支 持 工 程 师 如 果 发 生 了 压 缩,LURV 始 终 会 通 知 您 ( 在 UI 中 使 用 警 告 消 息 ) 如 果 您 发 现 您 需 要 粒 度 信 息, 则 可 从 metrics.log 使 用 per_host_thruput 获 得 该 信 息 平 均 每 日 数 据 量 的 前 5 个 值 对 于 按 已 从 拆 分 依 据 菜 单 中 选 择 的 字 段 拆 分 的 任 何 项 目, 前 5 个 面 板 可 显 示 其 平 均 和 最 大 每 日 使 用 量 的 前 五 个 值 请 注 意, 它 选 择 的 是 前 五 个 平 均 值 ( 而 不 是 峰 值 ) 因 此, 例 如, 假 设 您 有 不 止 五 个 来 源 类 型 来 源 类 型 F 通 常 比 其 他 值 小 很 多 但 是 有 一 个 简 短 峰 值 来 源 类 型 F 的 最 大 每 日 使 用 量 很 高, 但 是 它 的 平 均 使 用 量 可 能 仍 然 很 低 ( 因 为 它 所 有 天 的 使 用 量 都 很 低, 这 降 低 了 它 的 平 均 使 用 量 ) 由 于 此 面 板 选 择 前 五 个 平 均 值, 来 源 类 型 F 可 能 仍 不 会 显 示 在 此 视 图 中 使 用 LURV 请 阅 读 下 一 个 主 题 中 有 关 基 于 LURV 面 板 配 置 告 警 的 提 示 使 用 许 可 证 使 用 情 况 报 表 视 图 本 主 题 与 使 用 许 可 证 使 用 情 况 报 表 视 图 (LURV) 有 关 要 了 解 此 视 图, 请 阅 读 前 面 的 主 题 关 于 Splunk 的 许 可 证 使 用 情 况 报 表 视 图 设 置 告 警 您 可 以 将 任 何 LURV 面 板 变 成 一 个 告 警 例 如, 假 如 您 要 针 对 许 可 证 使 用 情 况 达 到 配 额 的 80% 设 置 一 个 告 警 从 今 天 使 用 的 每 日 许 可 证 配 额 的 百 分 比 面 板 开 始 单 击 面 板 左 下 角 的 在 搜 索 中 打 开 附 加 where '% used' > 80 然 后 选 择 另 存 为 > 告 警, 并 遵 循 告 警 向 导 执 行 操 作 Splunk Enterprise 附 带 一 些 您 可 以 启 用 的 预 配 置 告 警 请 参 阅 分 布 式 管 理 控 制 台 手 册 中 的 平 台 告 警 68

LURV 故 障 排 除 : 30 天 面 板 上 没 有 结 果 许 可 证 使 用 情 况 报 表 视 图 的 最 近 30 天 视 图 面 板 上 缺 少 结 果 表 示 搜 索 时 在 其 上 查 看 页 面 的 许 可 证 主 服 务 器 实 例 无 法 从 其 自 身 $SPLUNK_HOME/var/log/splunk/license_usage.log 文 件 中 查 找 到 事 件 这 通 常 由 以 下 原 因 之 一 引 起 : 许 可 证 主 服 务 器 配 置 为 将 事 件 转 发 到 索 引 器 ( 请 阅 读 分 布 式 搜 索 手 册 中 有 关 此 最 佳 做 法 的 更 多 信 息 ), 但 未 配 置 为 搜 索 头 通 过 将 所 有 索 引 器 添 加 到 被 许 可 证 主 服 务 器 转 发 事 件 作 为 搜 索 节 点 的 部 分 中, 这 很 容 易 解 决 许 可 证 主 服 务 器 不 从 它 自 己 的 $SPLUNK_HOME/var/log/splunk 目 录 中 读 取 事 件 ( 因 此 也 不 为 其 建 立 索 引 ) 如 果 [monitor://$splunk_home/var/log/splunk] 默 认 数 据 输 入 由 于 某 些 原 因 被 禁 用, 便 会 出 现 此 情 况 如 果 您 的 许 可 证 主 服 务 器 午 夜 时 关 闭, 则 您 的 数 据 可 能 会 出 现 间 隙 管 理 应 用 键 值 存 储 有 关 应 用 键 值 存 储 应 用 键 值 存 储 ( 或 KV 存 储 ) 提 供 在 Splunk 应 用 内 保 存 和 检 索 数 据 的 方 法, 从 而 允 许 您 管 理 和 维 护 应 用 程 序 的 状 态 以 下 是 Splunk 应 用 可 能 使 用 KV 存 储 的 一 些 方 法 : 跟 踪 事 件 查 看 系 统 ( 将 问 题 从 一 个 用 户 移 动 到 另 一 个 用 户 ) 中 的 工 作 流 保 留 用 户 提 供 的 环 境 资 产 列 表 控 制 任 务 队 列 当 用 户 与 应 用 进 行 交 互 时, 通 过 存 储 用 户 或 应 用 程 序 状 态 管 理 UI 会 话 存 储 用 户 元 数 据 通 过 Splunk 或 外 部 数 据 存 储 从 搜 索 查 询 缓 存 结 果 为 模 块 化 输 入 存 储 检 查 点 数 据 有 关 使 用 KV 存 储 的 信 息, 请 参 阅 Splunk 应 用 开 发 者 的 应 用 键 值 存 储 文 档 KV 存 储 如 何 使 用 您 的 部 署 KV 存 储 将 数 据 存 储 为 集 合 中 的 键 值 对 主 要 概 念 如 下 : 集 合 是 数 据 的 容 器, 与 数 据 库 表 类 似 集 合 存 在 于 给 定 应 用 的 上 下 文 中 记 录 包 含 数 据 的 每 个 条 目, 与 数 据 库 表 中 的 行 类 似 字 段 对 应 键 名 称, 与 数 据 库 表 中 的 列 类 似 字 段 将 数 据 值 包 含 为 JSON 文 件 尽 管 不 需 要, 您 还 可 强 制 限 定 字 段 值 的 数 据 类 型 ( 数 量 布 尔 时 间 和 字 符 串 ) _key 为 包 含 每 个 记 录 的 唯 一 ID 的 预 留 字 段 如 果 您 未 显 式 指 定 _key 值, 则 应 用 会 自 动 生 成 一 个 值 _user 为 包 含 每 个 记 录 的 用 户 ID 的 预 留 字 段 此 字 段 不 可 以 被 覆 盖 加 速 通 过 使 包 含 加 速 字 段 的 搜 索 更 快 的 返 回 来 改 进 搜 索 性 能 加 速 在 易 于 遍 历 的 表 单 中 存 储 集 合 数 据 的 一 小 部 分 KV 存 储 驻 留 在 搜 索 头 的 文 件 在 搜 索 头 群 集 中, 如 果 任 何 节 点 收 到 写 入, 则 KV 存 储 会 将 写 入 委 派 到 KV 存 储 管 理 员 但 是,KV 存 储 保 持 本 地 读 取 系 统 要 求 KV 存 储 在 所 有 Splunk Enterprise 64 位 构 建 中 可 用 并 被 支 持 它 在 32 位 Splunk Enterprise 构 建 中 不 可 用 KV 存 储 在 通 用 转 发 器 中 也 不 可 用 请 参 阅 Splunk Enterprise 系 统 要 求 默 认 情 况 下,KV 存 储 使 用 端 口 8191 您 可 以 更 改 server.conf 的 [kvstore] 段 落 中 的 端 口 号 有 关 Splunk Enterprise 使 用 的 其 他 端 口 的 信 息, 请 参 阅 分 布 式 搜 索 手 册 中 的 搜 索 头 群 集 的 系 统 要 求 和 其 他 部 署 注 意 事 项 有 关 您 可 以 在 KV 存 储 中 更 改 的 其 他 配 置 的 信 息, 请 参 阅 server.conf.spec 中 的 KV 存 储 配 置 部 分 关 于 Splunk FIPS 要 通 过 KV 存 储 使 用 FIPS, 请 参 阅 server.conf.spec 中 的 KV 存 储 配 置 部 分 如 果 未 启 用 Splunk FIPS, 这 些 设 置 将 被 忽 略 69

如 果 您 启 用 了 FIPS 但 未 提 供 需 要 的 设 置 (cacertpath sslkeyspath 和 sslkeyspassword),kv 存 储 不 会 运 行 在 splunkd.log 中 和 在 执 行 splunk start 的 控 制 台 上 查 找 错 误 消 息 决 定 您 的 应 用 是 否 使 用 KV 存 储 默 认 情 况 下,KV 存 储 在 Splunk Enterprise 6.2+ 上 启 用 使 用 KV 存 储 的 应 用 通 常 具 有 定 义 在 $SPLUNK_HOME/etc/apps/<app name>/default 中 的 collections.conf 另 外,transforms.conf 将 引 用 具 有 external_type = kvstore 的 集 合 使 用 KV 存 储 要 使 用 KV 存 储 : 1. 使 用 配 置 文 件 或 REST API 创 建 集 合 并 选 择 定 义 具 有 数 据 类 型 的 字 段 列 表 2. 使 用 搜 索 查 找 命 令 和 Splunk REST API 执 行 创 建 - 读 取 - 更 新 - 删 除 (CRUD) 操 作 3. 使 用 REST API 管 理 集 合 在 Splunk Enterprise 部 署 上 监 视 其 影 响 您 可 通 过 分 布 式 管 理 控 制 台 上 的 两 个 视 图 监 视 KV 存 储 性 能 一 个 视 图 提 供 整 个 部 署 的 深 入 见 解 ( 请 参 阅 分 布 式 管 理 控 制 台 手 册 中 的 KV 存 储 : 部 署 ) 另 一 个 视 图 提 供 有 关 每 个 搜 索 头 上 KV 存 储 操 作 的 信 息 ( 请 参 阅 分 布 式 管 理 控 制 台 手 册 中 的 KV 存 储 : 实 例 ) 备 份 KV 存 储 数 据 使 用 标 准 备 份 和 存 储 工 具 与 您 组 织 使 用 的 程 序 备 份 和 存 储 您 的 KV 存 储 数 据 要 备 份 KV 存 储 数 据, 将 所 有 文 件 备 份 到 server.conf 文 件 的 [kvstore] 段 落 的 dbpath 参 数 中 指 定 的 路 径 有 关 Splunk Enterprise 中 备 份 策 略 的 一 般 信 息, 请 参 阅 管 理 索 引 器 和 索 引 器 群 集 手 册 中 的 选 择 您 的 备 份 策 略 备 份 KV 存 储 本 主 题 介 绍 如 何 安 全 地 备 份 和 恢 复 KV 存 储 备 份 KV 存 储 在 执 行 这 些 步 骤 之 前, 确 保 熟 悉 标 准 的 备 份 和 存 储 工 具 以 及 您 组 织 使 用 的 程 序 1. 要 备 份 KV 存 储 数 据, 首 先 关 闭 将 从 中 备 份 KV 存 储 的 Splunk 实 例 2. 备 份 server.conf 文 件 中 [kvstore] 段 落 的 dbpath 参 数 中 指 定 的 路 径 下 的 所 有 文 件 3. 在 单 一 节 点 上, 备 份 $SPLUNK_DB 路 径 中 找 到 的 kvstore 文 件 夹 默 认 情 况 下, 路 径 为 /var/lib/splunk/kvstore 如 果 使 用 搜 索 头 群 集, 备 份 任 何 群 集 成 员 上 的 KV 存 储 数 据 恢 复 KV 存 储 数 据 注 意 : 为 了 成 功 恢 复 KV 存 储 数 据,KV 存 储 集 合 collections.conf 必 须 已 经 存 在 于 KV 存 储 将 恢 复 到 的 Splunk 实 例 上 如 果 您 在 恢 复 KV 存 储 数 据 之 后 创 建 集 合 collections.conf, 则 KV 存 储 数 据 将 会 丢 失 要 将 KV 存 储 数 据 恢 复 到 与 备 份 它 的 相 同 的 搜 索 头 群 集, 在 每 个 群 集 成 员 上 恢 复 kvstore 文 件 夹 例 如, 在 有 三 个 成 员 的 搜 索 头 群 集 上 : 1. 从 搜 索 头 群 集 的 一 个 成 员 上 备 份 KV 存 储 数 据 2. 停 止 每 个 群 集 成 员 3. 恢 复 备 份 的 KV 存 储 数 据 文 件 夹 到 每 个 群 集 成 员 上 4. 启 动 每 个 群 集 成 员 将 KV 存 储 数 据 恢 复 到 搜 索 头 群 集 中 添 加 的 新 成 员 上 将 KV 存 储 数 据 恢 复 到 新 成 员 上, 并 添 加 新 成 员 到 群 集 中 例 如, 在 有 三 个 成 员 的 搜 索 头 群 集 上 : 70

1. 从 搜 索 头 群 集 的 一 个 成 员 上 备 份 KV 存 储 数 据 2. 在 您 想 添 加 到 搜 索 头 群 集 的 搜 索 头 上 : a. 添 加 成 员 到 群 集 请 参 阅 分 布 式 搜 索 手 册 中 的 添 加 群 集 成 员 b. 停 止 成 员 c. 恢 复 KV 存 储 数 据 d. 启 动 新 成 员 从 原 有 的 搜 索 头 群 集 恢 复 KV 存 储 数 据 到 新 的 搜 索 头 群 集 注 意 : 该 程 序 假 定 您 正 在 使 用 新 的 Splunk Enterprise 实 例 创 建 新 的 搜 索 头 群 集 1. 从 当 前 ( 原 有 ) 搜 索 头 群 集 的 一 个 搜 索 头 上 备 份 KV 存 储 数 据 2. 要 在 新 的 搜 索 头 群 集 上 恢 复 KV 存 储 数 据, 搜 索 头 群 集 必 须 使 用 一 个 成 员 进 行 初 始 化, 并 在 启 动 一 个 成 员 之 前 恢 复 KV 存 储 数 据 文 件 夹, 然 后 添 加 余 下 的 搜 索 头 到 搜 索 头 群 集 环 境 本 示 例 使 用 一 个 原 有 的 三 节 点 搜 索 头 群 集 环 境 和 一 个 新 的 三 节 点 搜 索 头 群 集 环 境 : 从 原 有 搜 索 头 群 集 的 一 个 搜 索 头 上 备 份 数 据 在 搜 索 头 ( 其 将 在 新 的 搜 索 头 群 集 环 境 中 ) 上 使 用 您 正 恢 复 的 KV 存 储 数 据 相 同 的 集 合 名 称 创 建 KV 存 储 集 合 通 过 replication_factor=1 初 始 化 搜 索 头 群 集 停 止 Splunk 实 例 并 恢 复 KV 存 储 数 据 清 理 KV 存 储 群 集 这 会 从 之 前 的 群 集 上 移 除 群 集 信 息 : splunk clean kvstore -cluster 只 需 通 过 一 个 搜 索 头 启 动 Splunk 实 例 和 bootstrap 在 KV 存 储 已 恢 复 到 搜 索 头 ( 其 将 在 新 的 搜 索 头 群 集 环 境 中 ) 上 之 后, 现 在 您 可 以 向 其 中 添 加 其 他 的 新 搜 索 头 群 集 成 员 完 成 之 后, 转 到 并 更 改 每 个 搜 索 头 上 的 replication_factor 为 所 需 的 复 制 因 子 数, 然 后 执 行 滚 动 重 新 启 动 认 识 Splunk 应 用 应 用 和 加 载 项 用 户 经 常 咨 询 应 用 和 加 载 项 的 定 义, 以 便 确 定 它 们 彼 此 之 间 的 区 别 没 有 明 确 的 标 准 来 统 一 区 分 应 用 和 加 载 项 两 者 都 是 您 安 装 在 Splunk Enterprise 实 例 上 的 配 置 打 包 集, 并 都 使 实 例 更 容 易 与 其 他 技 术 或 供 应 商 集 成, 或 向 它 们 插 入 数 据 应 用 一 般 提 供 泛 的 用 户 界 面, 使 您 能 利 用 您 的 数 据 工 作, 而 且 它 们 经 常 使 用 一 个 或 多 个 加 载 项 以 插 入 不 同 类 型 的 数 据 加 载 项 一 般 启 用 Splunk Enterprise 或 Splunk 应 用 以 插 入 或 映 射 特 定 类 型 的 数 据 对 于 管 理 员 用 户, 应 用 和 加 载 项 功 能 两 者 作 为 帮 助 您 获 得 Splunk Enterprise 中 的 数 据 然 后 有 效 使 用 这 些 数 据 的 工 具, 它 们 的 区 别 造 成 的 影 响 应 该 很 小 对 于 应 用 开 发 人 员, 区 别 造 成 的 影 响 更 大 : 关 于 开 发 应 用 的 指 南, 请 参 阅 dev.splunk.com 应 用 应 用 是 运 行 在 Splunk Enterprise 上 的 应 用 程 序 即 装 即 用,Splunk Enterprise 包 括 一 个 使 您 能 利 用 您 的 数 据 的 默 认 基 本 应 用 : 搜 索 和 报 表 应 用 对 于 基 本 应 用 不 能 解 决 的 用 例, 您 可 以 在 Splunk Enterprise 实 例 上 安 装 很 多 其 他 应 用, 有 些 是 免 费 的, 有 些 是 付 费 的 示 例 包 括 Splunk App for Microsoft Exchange Splunk App for Enterprise Security 和 Splunk DB Connect 一 个 应 用 可 以 使 用 一 个 或 多 个 加 载 项, 以 方 便 它 集 合 或 映 射 特 定 类 型 的 数 据 加 载 项 加 载 项 运 行 在 Splunk Enterprise 上 为 应 用 提 供 特 定 的 功 能, 如 导 入 数 据 映 射 数 据 或 提 供 已 保 存 的 搜 索 和 宏 示 例 包 括 Splunk Add-on for Checkpoint OPSEC LEA Splunk Add-on for Box 和 Splunk Add-on for McAfee 71

应 用 和 加 载 项 支 持 和 认 证 任 何 人 都 可 以 为 Splunk 软 件 开 发 应 用 或 加 载 项 Splunk 和 我 们 社 区 的 成 员 创 建 应 用 和 加 载 项, 并 通 过 Splunkbase( 在 线 应 用 市 场 ) 与 Splunk 软 件 的 其 他 用 户 共 享 它 们 Splunk 不 支 持 Splunkbase 上 的 所 有 应 用 和 加 载 项 Splunkbase 中 的 标 签 指 示 每 个 应 用 或 加 载 项 由 谁 支 持 Splunk 支 持 团 队 仅 接 受 Splunkbase 上 显 示 Splunk 支 持 标 签 的 应 用 和 加 载 项 相 关 的 案 例, 并 回 答 其 相 关 问 题 一 些 开 发 人 员 会 支 持 他 们 自 己 的 应 用 和 加 载 项 这 些 应 用 和 加 载 项 在 Splunkbase 上 显 示 开 发 人 员 支 持 标 签 Splunk 开 发 社 区 支 持 在 Splunkbase 上 显 示 社 区 支 持 标 签 的 应 用 和 加 载 项 此 外, 应 用 开 发 人 员 可 以 为 他 们 的 应 用 或 加 载 项 获 得 Splunk 认 证 这 意 味 着 Splunk 已 经 检 查 了 应 用 或 加 载 项, 并 发 现 它 符 合 Splunk 开 发 的 最 佳 做 法 但 是, 认 证 不 意 味 着 Splunk 支 持 应 用 或 加 载 项 例 如, 发 布 在 Splunkbase 上 并 通 过 Splunk 认 证 的 由 社 区 开 发 人 员 创 建 的 加 载 项 不 被 Splunk 支 持 在 Splunkbase 上 查 找 Splunk 支 持 标 签 以 确 定 Splunk 是 否 支 持 该 应 用 或 加 载 项 搜 索 和 报 表 应 用 首 次 安 装 并 登 录 Splunk 时, 您 将 进 入 Splunk 主 页 此 主 页 将 显 示 已 为 您 预 先 安 装 的 应 用 中 的 单 击 应 用 默 认 情 况 下,Splunk 提 供 搜 索 和 报 表 应 用 此 界 面 提 供 了 Splunk 的 核 心 功 能, 设 计 用 于 一 般 用 途 当 您 第 一 次 登 录 并 提 供 搜 索 字 段 时, 此 应 用 显 示 在 主 页 顶 部, 您 可 以 立 即 开 始 使 用 它 进 入 到 搜 索 和 报 表 应 用 ( 通 过 运 行 搜 索 或 单 击 主 页 中 的 应 用 ) 后, 可 以 使 用 菜 单 栏 选 项 选 择 下 列 项 目 : 搜 索 : 搜 索 索 引 有 关 更 多 信 息, 请 参 阅 搜 索 教 程 中 的 使 用 Splunk 搜 索 数 据 透 视 表 : 使 用 数 据 模 型 为 数 据 快 速 设 计 并 生 成 表 格 图 表 和 可 视 化 元 素 有 关 更 多 信 息, 请 参 阅 数 据 透 视 表 手 册 报 表 : 将 搜 索 变 成 报 表 有 关 更 多 信 息, 请 参 阅 搜 索 教 程 中 的 保 存 和 共 享 报 表 告 警 : 为 Splunk 搜 索 和 报 表 设 置 告 警 有 关 更 多 信 息, 请 参 阅 告 警 手 册 仪 表 板 : 利 用 预 定 义 的 仪 表 板 或 自 己 创 建 请 参 阅 仪 表 板 和 可 视 化 手 册 配 置 在 应 用 中 打 开 的 Splunk Web 可 以 配 置 Splunk Web, 以 使 其 在 所 选 特 定 应 用 而 不 是 Splunk 主 页 中 打 开 可 以 将 Splunk Web 设 置 为 对 于 所 有 用 户 均 在 特 定 应 用 中 打 开, 也 可 以 根 据 特 定 用 户 匹 配 应 用 为 单 一 用 户 跳 过 Splunk 主 页 您 可 以 对 Splunk Web 进 行 配 置, 这 样 在 用 户 登 录 时, 可 以 直 接 进 入 您 选 择 的 应 用, 而 不 是 Splunk 主 页 使 搜 索 应 用 成 为 用 户 的 默 认 登 录 应 用 : 1. 在 该 用 户 的 本 地 目 录 中 创 建 名 为 user-prefs.conf 的 文 件 : 72

etc/users/<user>/user-prefs/local/user-prefs.conf 对 于 admin 用 户, 该 文 件 应 位 于 : etc/users/admin/user-prefs/local/user-prefs.conf 对 于 test 用 户, 它 应 位 于 : etc/users/test/user-prefs/local/user-prefs.conf 2. 在 user-prefs.conf 文 件 中 加 入 下 列 行 : default_namespace = search 为 所 有 用 户 跳 过 Splunk 主 页 您 可 以 为 所 有 用 户 指 定 当 它 们 登 录 后 进 入 的 默 认 应 用 例 如, 如 果 要 将 搜 索 应 用 作 为 全 局 默 认 应 用, 则 应 编 辑 $SPLUNK_HOME/etc/apps/user-prefs/local/user-prefs.conf 并 指 定 : [general_default] default_namespace = search 注 意 : 如 果 用 户 无 权 访 问 搜 索 应 用, 则 会 显 示 出 错 从 哪 里 获 得 更 多 应 用 和 加 载 项 您 可 以 在 Splunkbase 上 找 到 新 的 应 用 和 加 载 项 :https://splunkbase.splunk.com/ 您 也 可 以 在 Splunk Enterprise 主 页 上 浏 览 新 应 用 如 果 您 已 连 接 到 Internet 如 果 Splunk Enterprise 服 务 器 或 客 户 端 计 算 机 已 连 接 到 Internet, 则 可 以 从 主 页 导 航 到 应 用 浏 览 器 您 可 以 单 击 您 上 一 次 安 装 的 应 用 下 方 的 + 符 号 以 直 接 转 到 应 用 浏 览 器 您 也 可 以 单 击 应 用 旁 边 的 齿 轮 以 转 到 应 用 管 理 器 页 面 单 击 浏 览 更 多 应 用 以 转 到 应 用 浏 览 器 重 要 提 示 : 如 果 Splunk Web 位 于 代 理 服 务 器 之 后, 您 可 能 会 在 访 问 Splunkbase 时 遇 到 问 题 要 解 决 此 问 题, 您 需 要 遵 照 指 定 代 理 服 务 器 中 的 说 明 来 设 置 HTTP_PROXY 环 境 变 量 如 果 您 未 连 接 到 Internet 如 果 您 的 Splunk Enterprise 服 务 器 和 客 户 端 未 连 接 到 Internet, 则 必 须 首 先 从 Splunkbase 下 载 应 用, 然 后 将 其 复 制 到 您 的 服 务 器 上 : 1. 从 具 有 Internet 连 接 的 计 算 机 上, 浏 览 Splunkbase 以 找 到 所 需 的 应 用 或 加 载 项 2. 下 载 应 用 或 加 载 项 3. 下 载 之 后, 将 其 复 制 到 您 的 Splunk Enterprise 服 务 器 上 4. 将 其 放 入 您 的 $SPLUNK_HOME/etc/apps 目 录 中 73

5. 通 过 诸 如 tar -xvf( 在 *nix 上 ) 或 WinZip( 在 Windows 上 ) 等 工 具 来 解 压 您 的 应 用 或 加 载 项 请 注 意, 虽 然 Splunk 应 用 和 加 载 项 使 用.SPL 扩 展 名 进 行 打 包, 但 其 内 部 仍 为 tar 和 gzip 格 式 您 可 以 需 要 强 制 您 的 工 具 识 别 此 扩 展 名 6. 您 可 能 需 要 重 新 启 动 Splunk Enterprise, 这 取 决 于 应 用 或 加 载 项 的 内 容 7. 现 在, 您 的 应 用 或 加 载 项 已 安 装 就 绪 如 果 它 具 有 Web UI 组 件, 您 还 可 以 从 Splunk 主 页 上 使 用 它 应 用 部 署 概 述 本 主 题 提 供 关 于 您 可 用 于 在 常 见 Splunk 软 件 环 境 中 部 署 Splunk 应 用 和 加 载 项 的 方 法 概 述 有 关 应 用 和 加 载 项 部 署 的 更 多 详 细 信 息, 请 参 阅 特 定 的 Splunk 应 用 文 档, 或 参 阅 Splunk 加 载 项 手 册 中 的 将 Splunk 加 载 项 安 装 于 何 处 前 提 条 件 您 必 须 具 有 一 个 现 成 的 Splunk 平 台 部 署, 在 其 上 安 装 Splunk 应 用 和 加 载 项 部 署 方 法 有 种 方 法 可 将 应 用 和 加 载 项 部 署 到 Splunk 平 台 上 要 使 用 正 确 的 部 署 方 法 取 决 于 特 定 Splunk 软 件 部 署 的 以 下 特 性 : 部 署 架 构 ( 单 实 例 或 分 布 式 ) 群 集 类 型 ( 搜 索 头 群 集 和 / 或 索 引 器 群 集 ) 位 置 ( 本 地 或 在 Splunk Cloud 中 ) 部 署 架 构 有 两 种 基 本 的 Splunk Enterprise 部 署 架 构 : 单 实 例 部 署 : 在 单 实 例 部 署 中, 一 个 Splunk Enterprise 实 例 既 用 作 搜 索 头, 又 用 作 索 引 器 分 布 式 部 署 : 分 布 式 部 署 会 包 括 多 个 Splunk Enterprise 组 件, 其 中 包 含 搜 索 头 索 引 器 和 转 发 器 请 参 阅 分 布 式 部 署 手 册 中 的 使 用 Splunk Enterprise 组 件 调 整 部 署 规 模 分 布 式 部 署 也 包 括 标 准 独 立 组 件 和 / 或 群 集 组 件, 其 中 包 含 搜 索 头 群 集 索 引 器 群 集 和 多 站 点 群 集 请 参 阅 分 布 式 部 署 手 册 中 的 分 布 式 Splunk Enterprise 概 述 单 实 例 部 署 要 在 单 实 例 上 部 署 应 用, 从 Splunkbase 下 载 应 用 到 本 地 主 机, 然 后 使 用 Splunk Web 安 装 应 用 一 些 应 用 目 前 不 支 持 通 过 Splunk Web 安 装 确 保 在 安 装 之 前 查 看 特 定 应 用 的 安 装 说 明 分 布 式 部 署 您 可 以 使 用 以 下 方 法 在 分 布 式 环 境 中 部 署 应 用 : 使 用 Splunk Web 在 每 个 组 件 上 手 动 安 装 应 用, 或 通 过 命 令 行 手 动 安 装 应 用 使 用 部 署 服 务 器 安 装 应 用 部 署 服 务 器 自 动 分 发 新 的 应 用 应 用 更 新 和 某 些 配 置 更 新 到 搜 索 头 索 引 器 和 转 发 器 上 请 参 阅 更 新 Splunk Enterprise 实 例 中 的 关 于 部 署 服 务 器 和 转 发 器 管 理 或 者, 您 可 以 使 用 第 三 方 配 置 管 理 工 具 来 部 署 应 用, 例 如 : Chef Puppet Salt Windows 配 置 工 具 大 多 数 情 况 下, 您 必 须 将 Splunk 应 用 安 装 在 搜 索 头 索 引 器 和 转 发 器 上 要 确 定 您 必 须 将 应 用 安 装 在 哪 个 Splunk Enterprise 组 件 上, 请 参 阅 特 定 应 用 的 安 装 说 明 将 应 用 部 署 到 群 集 Splunk 分 布 式 部 署 包 括 以 下 这 些 群 集 类 型 : 搜 索 头 群 集 索 引 器 群 集 74

您 可 以 使 用 配 置 软 件 包 方 法 将 应 用 部 署 到 索 引 器 和 搜 索 头 群 集 成 员 上 搜 索 头 群 集 要 将 应 用 部 署 到 搜 索 头 群 集, 您 必 须 使 用 Deployer Deployer 是 将 应 用 和 配 置 更 新 分 发 给 搜 索 头 群 集 成 员 的 Splunk Enterprise 实 例 Deployer 不 能 是 搜 索 头 群 集 的 成 员, 而 且 必 须 在 搜 索 头 群 集 之 外 运 行 请 参 阅 分 布 式 搜 索 手 册 中 的 使 用 deployer 分 布 应 用 和 配 置 更 新 警 告 : 切 勿 从 deployer 之 外 的 任 何 实 例 上 将 配 置 软 件 包 部 署 到 搜 索 头 群 集 如 果 您 在 非 -deployer 实 例 ( 例 如 群 集 成 员 ) 上 运 行 apply schcluster-bundles 命 令, 该 命 令 会 删 除 所 有 现 有 的 应 用 和 所 有 搜 索 头 群 集 成 员 上 用 户 生 成 的 内 容! 索 引 器 群 集 要 将 应 用 部 署 到 索 引 器 群 集 中 的 对 等 节 点 ( 索 引 器 ) 上, 首 先 您 必 须 将 应 用 放 在 索 引 器 群 集 主 节 点 上 适 当 的 位 置, 然 后 使 用 配 置 软 件 包 方 法 来 将 应 用 分 发 到 对 等 节 点 您 可 以 使 用 Splunk Web 或 CLI 将 配 置 软 件 包 应 用 到 对 等 节 点 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 索 引 器 群 集 中 的 更 新 通 用 对 等 节 点 配 置 和 应 用 当 您 无 法 使 用 部 署 服 务 器 将 应 用 部 署 到 对 等 节 点 时, 您 可 以 使 用 它 来 分 发 应 用 到 索 引 器 群 集 主 节 点 有 关 更 多 信 息, 请 参 阅 管 理 索 引 器 和 索 引 器 群 集 中 的 使 用 部 署 服 务 器 分 发 应 用 到 主 节 点 部 署 应 用 到 Splunk Cloud 如 果 您 想 要 部 署 应 用 或 加 载 项 到 Splunk Cloud, 请 联 系 Splunk 支 持 以 获 得 指 导 支 持 团 队 可 以 部 署 应 用 或 加 载 项 到 部 署 组 件 (Splunk Cloud 用 户 不 能 访 问 ) 上 部 署 加 载 项 到 Splunk Light 您 可 以 安 装 并 启 用 选 择 有 限 的 加 载 项, 在 Splunk Light 实 例 上 配 置 新 的 数 据 输 入 请 参 阅 Splunk Light 入 门 手 册 中 的 配 置 加 载 项 来 添 加 数 据 应 用 架 构 和 对 象 所 有 权 应 用 通 常 由 Splunk 知 识 对 象 构 建 而 成 Splunk 知 识 包 括 诸 如 保 存 的 搜 索 事 件 类 型 标 记 ( 用 于 增 强 您 的 Splunk 数 据, 方 便 您 找 到 所 需 信 息 的 项 目 ) 等 对 象 注 意 : 偶 尔 您 可 能 也 会 将 对 象 保 存 到 加 载 项, 但 这 并 不 常 见 应 用 和 加 载 项 都 存 储 在 应 用 目 录 中 在 很 少 的 情 况 下 您 需 要 将 对 象 保 存 到 加 载 项, 您 可 按 照 本 主 题 中 为 应 用 介 绍 的 管 理 方 式 来 管 理 加 载 项 任 何 登 录 到 Splunk Web 的 用 户 都 可 以 在 所 使 用 的 应 用 下 创 建 知 识 对 象 并 将 其 保 存 到 相 应 的 用 户 目 录 下 ( 假 设 具 有 足 够 权 限 ) 这 是 一 种 默 认 行 为 - 当 用 户 保 存 某 个 对 象 时, 该 对 象 会 进 入 当 前 所 运 行 的 应 用 下 相 应 的 用 户 目 录 中 用 户 目 录 位 于 $SPLUNK_HOME/etc/users/<user_name>/<app_name>/local 中 一 旦 用 户 在 该 应 用 中 保 存 了 对 象 之 后, 这 一 对 象 仅 对 此 用 户 ( 当 其 使 用 该 应 用 时 ) 可 用, 除 非 用 户 采 取 以 下 做 法 之 一 : 提 升 此 对 象, 以 使 其 对 有 权 访 问 该 应 用 的 所 有 用 户 可 用 将 此 对 象 限 定 于 特 定 角 色 或 用 户 ( 仍 然 在 该 应 用 上 下 文 中 ) 使 此 对 象 对 所 有 应 用 加 载 项 和 用 户 全 局 可 用 ( 除 非 您 明 确 将 其 限 定 于 特 定 角 色 / 用 户 ) 注 意 : 用 户 必 须 对 应 用 或 加 载 项 具 有 写 入 权 限, 方 能 将 对 象 提 升 到 该 级 别 提 升 和 共 享 Splunk 知 识 用 户 可 以 通 过 权 限 对 话 框 与 其 他 用 户 共 享 他 们 的 Splunk 知 识 对 象 这 意 味 着 对 应 用 或 加 载 项 具 有 读 取 权 限 的 用 户 可 以 看 到 共 享 的 对 象 并 使 用 它 们 例 如, 如 果 某 个 用 户 共 享 了 一 个 保 存 的 搜 索, 则 其 他 用 户 可 以 看 到 此 搜 索, 但 必 须 处 于 创 建 搜 索 所 在 的 应 用 中 因 此, 如 果 您 在 应 用 "Fflanda" 中 创 建 了 一 个 保 存 的 搜 索 并 共 享, 则 Fflanda 的 其 他 用 户 可 以 看 到 保 存 的 搜 索, 前 提 是 他 们 对 Fflanda 具 有 读 取 权 限 具 有 写 入 权 限 的 用 户 可 以 将 其 对 象 提 升 到 应 用 级 别 这 意 味 着 对 象 将 从 其 用 户 目 录 复 制 到 应 用 的 目 录 - 从 : $SPLUNK_HOME/etc/users/<user_name>/<app_name>/local/ 至 : $SPLUNK_HOME/etc/apps/<app_name>/local/ 只 有 那 些 在 应 用 中 具 有 写 入 权 限 的 用 户 可 以 执 行 此 操 作 使 Splunk 知 识 对 象 全 局 可 用 75

最 后, 在 提 升 对 象 时, 用 户 可 以 决 定 他 们 是 否 希 望 自 己 的 对 象 全 局 可 用, 这 意 味 着 所 有 的 应 用 都 能 够 看 到 它 同 样, 用 户 必 须 对 原 始 应 用 具 有 写 入 权 限 最 方 便 的 做 法 是 在 Splunk Web 中 完 成 此 操 作, 不 过 您 也 可 以 直 接 将 相 关 对 象 移 动 到 所 需 目 录 中 要 将 应 用 D 中 属 于 用 户 C 的 对 象 A( 在 B.conf 中 定 义 ) 全 局 可 用 : 1. 将 定 义 对 象 A 的 段 落 从 $SPLUNK_HOME/etc/users/C/D/B.conf 移 动 到 $SPLUNK_HOME/etc/apps/D/local/B.conf 2. 在 该 应 用 的 local.meta 文 件 中, 向 对 象 A 的 段 落 部 分 添 加 设 置 export = system 如 果 此 对 象 的 段 落 不 存 在, 您 可 以 添 加 相 应 的 段 落 例 如, 要 提 升 由 用 户 fflanda 在 *Nix 应 用 中 创 建 的 事 件 类 型 rhallen 以 使 其 全 局 可 用 : 1. 将 [rhallen] 段 落 从 $SPLUNK_HOME/etc/users/fflanda/unix/local/eventtypes.conf 移 动 到 $SPLUNK_HOME/etc/apps/unix/local/eventtypes.conf 2. 添 加 以 下 段 落 : [eventtypes/rhallen] export = system 至 $SPLUNK_HOME/etc/apps/unix/metadata/local.meta 注 意 : 如 果 您 是 从 搜 索 应 用 中 共 享 事 件 类 型, 则 无 需 将 export = system 设 置 添 加 到 local.meta, 因 为 默 认 情 况 下 该 应 用 会 全 局 导 出 其 所 有 事 件 这 适 用 于 哪 些 对 象? 这 里 讨 论 的 知 识 对 象 仅 限 于 那 些 受 访 问 控 制 机 制 影 响 的 对 象 这 些 对 象 也 称 为 应 用 级 别 对 象, 可 以 通 过 在 用 户 菜 单 栏 中 选 择 应 用 > 管 理 应 用 来 查 看 它 们 所 有 用 户 都 可 以 使 用 此 页 面 来 管 理 他 们 创 建 和 共 享 的 任 何 对 象 这 些 对 象 包 括 : 保 存 的 搜 索 和 报 表 事 件 类 型 视 图 和 仪 表 板 字 段 提 取 还 有 一 些 仅 具 有 管 理 员 权 限 ( 或 对 特 定 对 象 具 有 读 取 / 写 入 权 限 ) 用 户 可 用 的 系 统 级 别 对 象 这 些 对 象 包 括 : 用 户 角 色 验 证 分 布 式 搜 索 输 入 输 出 部 署 许 可 证 服 务 器 设 置 ( 例 如 : 主 机 名 端 口 等 ) 重 要 提 示 : 如 果 您 添 加 了 一 个 输 入,Splunk 会 将 该 输 入 添 加 到 属 于 您 当 前 所 用 应 用 的 inputs.conf 副 本 中 这 意 味 着 如 果 您 直 接 从 搜 索 导 航 到 您 的 应 用, 则 您 的 输 入 将 被 添 加 到 $SPLUNK_HOME/etc/apps/search/local/inputs.conf, 而 这 可 能 并 不 是 您 希 望 的 行 为 应 用 配 置 和 知 识 优 先 顺 序 当 您 向 Splunk 添 加 知 识 时, 它 是 在 您 当 前 所 在 的 应 用 上 下 文 中 添 加 的 当 Splunk 评 估 配 置 和 知 识 时, 它 会 按 照 特 定 的 优 先 顺 序 来 评 估 它 们, 因 此 您 可 以 控 制 在 哪 种 上 下 文 中 使 用 哪 些 知 识 定 义 与 配 置 参 阅 关 于 配 置 文 件 以 了 解 有 关 Splunk 配 置 文 件 和 优 先 顺 序 的 更 多 信 息 管 理 应 用 和 加 载 项 对 象 当 Splunk 用 户 创 建 应 用 或 加 载 项 时, 将 创 建 一 个 构 成 应 用 或 加 载 项 的 对 象 集 合 这 些 对 象 可 以 包 括 视 图 命 令 导 航 项 目 事 件 类 型 保 存 的 搜 索 报 表 等 等 其 中 每 个 对 象 均 具 有 关 联 的 权 限, 以 确 定 谁 能 够 查 看 或 改 变 它 们 默 认 情 况 下, 管 理 员 用 户 有 权 限 改 变 Splunk 系 统 中 的 所 有 对 象 参 阅 这 些 主 题 以 了 解 更 多 信 息 : 有 关 应 用 和 加 载 项 的 概 述, 请 参 阅 本 手 册 中 的 应 用 和 加 载 项 是 什 么? 有 关 应 用 和 加 载 项 权 限 的 更 多 信 息, 请 参 阅 本 手 册 中 的 应 用 架 构 和 对 象 所 有 权 76

要 了 解 有 关 如 何 创 建 您 自 己 的 应 用 和 加 载 项 的 更 多 信 息, 请 参 阅 开 发 用 于 Splunk Web 的 视 图 和 应 用 手 册 在 Splunk Web 中 查 看 和 管 理 应 用 或 加 载 项 对 象 要 使 用 Splunk Web 来 查 看 您 的 Splunk 部 署 中 的 对 象, 您 可 以 采 用 以 下 方 法 : 您 可 以 : 要 一 次 查 看 您 的 系 统 中 所 有 应 用 / 加 载 项 的 对 象 : 设 置 > 所 有 配 置 要 查 看 所 有 保 存 的 搜 索 和 报 表 对 象 : 设 置 > 搜 索 和 报 表 要 查 看 所 有 事 件 类 型 : 设 置 > 事 件 类 型 要 查 看 所 有 字 段 提 取 : 设 置 > 字 段 在 任 何 具 有 排 序 箭 头 的 页 面 上 查 看 和 操 作 对 象 使 用 应 用 上 下 文 栏, 可 以 对 视 图 进 行 过 滤 以 只 查 看 那 些 来 自 给 定 应 用 或 加 载 项 的 对 象 特 定 用 户 拥 有 的 对 象 或 包 含 特 定 字 符 串 的 对 象 使 用 应 用 上 下 文 栏 上 的 搜 索 字 段 来 在 相 关 字 段 中 搜 索 字 符 串 默 认 情 况 下,Splunk 会 在 所 有 可 用 字 段 中 搜 索 字 符 串 要 在 特 定 字 段 中 执 行 搜 索, 应 指 定 相 应 的 字 段 支 持 通 配 符 注 意 : 有 关 搜 索 命 令 页 面 上 各 个 搜 索 命 令 的 信 息, 请 参 阅 搜 索 参 考 手 册 在 CLI 中 更 新 应 用 或 加 载 项 要 使 用 CLI 来 更 新 您 的 Splunk 实 例 上 的 现 有 应 用 :./splunk install app <app_package_filename> -update 1 -auth <username>:<password> Splunk 会 根 据 从 安 装 软 件 包 中 找 到 的 信 息 来 更 新 应 用 或 加 载 项 使 用 CLI 禁 用 应 用 或 加 载 项 要 通 过 CLI 来 禁 用 应 用 :./splunk disable app [app_name] -auth <username>:<password> 注 意 : 如 果 您 正 在 运 行 Splunk Free, 则 无 需 提 供 用 户 名 和 密 码 卸 载 应 用 或 加 载 项 要 从 Splunk 安 装 中 删 除 已 安 装 的 应 用 : 1.( 可 选 ) 删 除 该 应 用 或 加 载 项 的 索 引 数 据 通 常,Splunk 不 会 从 已 删 除 的 应 用 或 加 载 项 访 问 索 引 数 据 不 过, 您 可 以 使 用 Splunk CLI 的 clean 命 令 来 从 应 用 中 删 除 索 引 数 据, 然 后 再 删 除 该 应 用 参 阅 使 用 CLI 命 令 来 删 除 索 引 数 据 2. 删 除 应 用 及 其 目 录 应 位 于 $SPLUNK_HOME/etc/apps/<appname> 中 您 可 在 CLI 中 运 行 以 下 命 令 :./splunk remove app [appname] -auth <username>:<password> 3. 您 可 能 需 要 删 除 为 您 的 应 用 或 加 载 项 创 建 的 用 户 特 定 目 录, 做 法 是 删 除 这 里 查 找 到 的 文 件 ( 如 果 有 ):$SPLUNK_HOME/splunk/etc/users/*/<appname> 4. 重 新 启 动 Splunk 管 理 应 用 和 加 载 项 配 置 及 属 性 您 可 以 从 应 用 菜 单 中 管 理 安 装 在 Splunk Enterprise 实 例 中 的 应 用 的 配 置 与 属 性 单 击 用 户 栏 中 的 应 用 以 选 择 一 个 已 安 装 的 应 用 或 管 理 一 个 应 用 从 管 理 应 用 页 面 上, 您 可 以 : 编 辑 应 用 或 加 载 项 的 权 限 启 用 或 禁 用 应 用 或 加 载 项 执 行 诸 如 启 动 应 用 编 辑 属 性 和 查 看 应 用 对 象 等 操 作 77

编 辑 应 用 和 加 载 项 属 性 您 对 配 置 和 属 性 的 编 辑, 取 决 于 您 是 应 用 的 所 有 者 还 是 用 户 选 择 应 用 > 管 理 应 用, 然 后 为 要 编 辑 的 应 用 或 加 载 项 单 击 编 辑 属 性 您 可 以 对 该 Splunk Enterprise 实 例 中 安 装 的 应 用 进 行 以 下 编 辑 名 称 : 更 改 应 用 或 加 载 项 在 Splunk Web 中 的 显 示 名 称 更 新 检 查 : 默 认 情 况 下, 更 新 检 查 处 于 启 用 状 态 您 可 以 禁 用 更 新 检 查 和 覆 盖 默 认 设 置 有 关 详 细 信 息, 请 参 阅 下 面 的 检 查 应 用 或 加 载 项 更 新 可 见 : 带 有 视 图 的 应 用 应 是 可 见 的 通 常 没 有 视 图 的 加 载 项 应 禁 用 可 见 属 性 上 载 资 产 : 使 用 此 字 段 选 择 可 通 过 应 用 或 加 载 项 访 问 的 本 地 文 件 资 产 文 件, 例 如 HTML JavaScript 或 CSS 文 件 从 此 面 板 一 次 只 能 上 载 一 个 文 件 请 参 阅 应 用 和 加 载 项 : 有 关 应 用 和 加 载 项 的 配 置 和 属 性 的 详 细 信 息 的 简 介 检 查 更 新 您 可 以 配 置 Splunk Enterprise 是 否 在 Splunkbase 中 检 查 应 用 或 加 载 项 更 新 默 认 情 况 下, 启 用 检 查 更 新 您 可 以 禁 用 应 用 更 新 检 查 : 在 设 置 > 应 用 > 编 辑 属 性 中 编 辑 此 属 性 但 是, 如 果 从 Splunk Web 无 法 访 问 此 属 性, 您 还 可 以 手 动 编 辑 应 用 app.conf 文 件 来 禁 用 更 新 检 查 在 $SPLUNK_HOME/etc/apps/<app_name>/local/app.conf 中 创 建 或 编 辑 以 下 段 落 以 禁 用 更 新 检 查 : [package] check_for_updates = 0 注 意 : 编 辑 app.conf 的 本 地 版 本, 而 非 默 认 版 本 这 样 可 避 免 用 下 一 个 应 用 更 新 覆 盖 您 的 设 置 认 识 Hunk 认 识 Hunk Hunk 允 许 您 将 远 程 HDFS 数 据 存 储 区 配 置 为 虚 拟 索 引 器, 以 便 Splunk 可 在 本 机 上 报 告 驻 留 在 Hadoop 上 的 数 据 虚 拟 索 引 配 置 正 确 后, 您 可 以 报 告 和 可 视 化 驻 留 在 远 程 Hadoop 数 据 存 储 区 上 的 数 据 以 下 链 接 指 向 Hunk 用 户 手 册 中 的 主 题 Hunk 手 册 简 介 Hunk 概 念 认 识 Hunk Hunk 的 新 功 能 常 见 问 题 了 解 更 多 和 获 取 帮 助 78