Table of Contents 欢迎使用 Splunk Enterprise 安装手册本手册包含哪些内容计划您的 Splunk Enterprise 安装安装概述系统要求 Splunk Enterprise 架构和流程有关其

Similar documents

Cisco WebEx Meetings Server 2.6 版常见问题解答

校友会系统白皮书feb_08

Microsoft PowerPoint - lect01.ppt

目录简介.3 ` 体系结构...4 数据层...5 数据连接器...6 Tableau Server 组件...7 网关 / 负载平衡器...8 客户端 :Web 浏览器和移动应用程序...8 客户端 :Tableau Desktop..

目录第五部分第六部分第七部分第八部分投标邀请投标人须知附表评标方法和评分细则项目需求和技术方案要求 1

KillTest 质量更高服务更好学习资料半年免费更新服务

温州市政府分散采购

版權 2014 贊雲科技股份有限公司版權保護聲明未經贊雲科技股份有限公司書面許可, 本檔任何部分的內容不得被複製或抄襲用於任何目的本檔的內容在未經通知的情形下可

Basic System Administration

<4D F736F F D D352DBED6D3F2CDF8D7E9BDA8D3EBB9DCC0EDCFEEC4BFBDCCB3CCD5FDCEC42E646F63>

HP 3PAR StoreServ 7000 Storage SmartStart 1.3 软件发行说明

SiteView技术白皮书

本文由筱驀釹贡献

2Office 365 Microsoft Office 365 Microsoft Office Microsoft Office Microsoft Office 365 Office (Office Web Apps) Office WindowsMAC OS Office 365 Offic

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南

1. ( B ) IT (A) (B) (C) (D) 2. ( A ) (A) (B) (C) (D) 3. ( B ) (A) GPS (B) GIS (C) ETC (D) CAI 4. ( D ) (A) (B) (C) (D) 5. ( B ) (Stored Program) (A) H

Microsoft Word - UserManualForEaton_SC.doc

Avigilon Control Center 6 ACC High Definition Stream Management (HDSM) ACC 6 ( Avigilon Appearance Search ) Avigilon Appearance Search ACC NVR HD Vide

V A. 1 Hyper-V R2 V C. A. Hyper-V B. Microsoft SCOM 20 V C. MAP D. Microsoft SCVMM 2008 V B. V D. 2. IT IT 2

目录 1. 概述总体方案方案概述软件部署架构技术原理访问场景典型设备 ipad 配置使用示例详细

Dell AppAssure 安装和升级指南

Seagate_Dashboard_UG.book

1 SQL Server 2005 SQL Server Microsoft Windows Server 2003NTFS NTFS SQL Server 2000 Randy Dyess DBA SQL Server SQL Server DBA SQL Server SQL Se

Windows Server2003終端機服務 (M )

Acronis True Image 2015

快速入门 (Linux) 概述文档目的本文档介绍了如何快速创建 Linux 系统实例远程连接实例部署环境等旨在引导您一站式完成实例的创建登录和快速环境部署云服务器 ECS 实

AXIS P7224 Video Encoder Blade – Installation Guide

CA Nimsoft Monitor Snap 快速入门指南

<5C5C D2D CB1BEB5D8B4C5C5CC CBACDCAA25CBBD45CBDF8D0D0D6D05CD5FEB2C95CCAFDD7D65CC2DBD6A4BBE15C E31322E3234C2DBD6A4B8E529C3B7D6DDCAD0CAFDD7D6BBAFB3C7CAD0D7DBBACF2E2E2E2E646F63>

HP StorageWorks Automated Storage Manager 用户指南

RTX3.2.0标准版 - 技术白皮书

Microsoft Word - connect_pro_7_release_notes_v3_handoff_to_loc.doc

turbomail方案

AVG AntiVirus User Manual

100/120EX A-61588_zh-tw 9E8696

1 产品简介特性包装产品外观电脑系统要求硬件安装软件安装软件操作 IP

湖北省政府采购中心

自由軟體社群發展經驗與 Linux認證介紹

LTM Management Console

Polycom RealPresence Capture Server - 设备版本入门指南

目录一安全漏洞态势... 4 ( 一 ) 漏洞类型分布... 4 ( 二 ) 漏洞操作系统分布... 5 ( 三 ) 漏洞利用斱式分布... 6 ( 四 ) 漏洞厂商分布... 7 二危急漏洞实例... 7 ( 一 ) Li

LaserJet Pro 100 Color MFP M175 User Guide - ZHCN

Sun Storage Common Array Manager 阵列管理指南，版本 6.9.0

Parallels Plesk Panel 安裝與升級指南

1. Revo Uninstaller Pro Revo Uninstaller Pro Revo Uninstaller Pro Revo Uninstaller Pro Revo Uninsta ller Pro Revo Uninstaller Pro Revo Uninstaller Pro

关于使用说明书本书说明本软件的安装方法和各个设备的设置方法本书使用 Microsoft Windows 7 Professional 进行说明使用其他的操作系统或者根据操作系统的设置的不

ATI-2019安裝手冊-v

QVM330 多阜寬頻路由器

Norton Ghost 15.0 安裝操作指南

Red Flag Linux Desktop 4.0 Red Flag Linux Desktop 4.0 1

使用 Scene7 Media Portal

Microsoft Word - PS2_linux_guide_cn.doc

自由軟體教學平台

ARIS Design Platform

自由軟體教學平台

User Group SMTP

用于网中之网的集成化安全保护

中科曙光云盘系统

宁夏专业技术人员服务平台

IBM System x 系列手册

CD (OpenSourceGuide OpenSourceGuide.pdf) : IR LED

HP LaserJet Pro M1530 MFP Series User Guide - ZHTW

Acronis True Image 2014

cosa Quick Start Manual

方正文杰A330/N

Transcription:

Splunk Enterprise 6.3.0 安装手册生成时间 :2015 年 9 月 25 日, 下午 12:29 Copyright (c) 2016 Splunk Inc. All Rights Reserved

Table of Contents 欢迎使用 Splunk Enterprise 安装手册本手册包含哪些内容计划您的 Splunk Enterprise 安装安装概述系统要求 Splunk Enterprise 架构和流程有关其他随 Splunk Enterprise 分发的 Windows 第三方二进制文件的信息安装说明确保您的 Splunk Enterprise 安装关于确保 Splunk Enterprise 安全您安装 Splunk Enterprise 前确保系统安全安全安装 Splunk Enterprise 确保 Splunk Enterprise 安全的更多方法在 Windows 上安装 Splunk Enterprise 选择 Splunk Enterprise 应以其身份运行的 Windows 用户将为网络或域用户准备用于安装的 Windows 网络在 Windows 上安装使用命令行在 Windows 上安装修正 Windows 安装期间选择的用户在 Unix Linux 或 Mac OS X 上安装 Splunk Enterprise 在 Linux 上安装在 Solaris 上安装在 Mac OS X 上安装在 FreeBSD 上安装在 AIX 上安装在 HP-UX 上安装以其他或非 root 用户身份运行 Splunk Enterprise 使用 Splunk Enterprise 启动首次启动 Splunk Enterprise 接下来呢? 了解有关 Splunk Enterprise 的可访问性安装 Splunk Enterprise 许可证关于 Splunk Enterprise 许可证安装许可证升级或迁移 Splunk Enterprise 如何升级 Splunk Enterprise 关于升级到 6.3 - 首先阅读此主题从版本 5 至版本 6 的 Splunk Web 程序有何更改 Splunk 应用开发人员的更改 4 4 4 4 4 8 10 11 11 11 11 11 12 12 12 14 19 23 26 26 26 29 30 33 35 36 37 38 38 40 40 41 41 41 42 42 43 46 47

在 *NIX 上升级到 6.3 在 Windows 上升级到 6.3 升级您的分布式 Splunk Enterprise 环境迁移 Splunk Enterprise 实例迁移到新的 Splunk Enterprise 许可证卸载 Splunk Enterprise 卸载 Splunk Enterprise 49 50 51 53 55 56 56 参考 PGP 公共密钥 58 58

欢迎使用 Splunk Enterprise 安装手册本手册包含哪些内容安装手册内容包括 : 系统要求许可授权信息安装程序从之前版本升级的程序以及其他相关内容注意安装手册仅详细介绍安装完整的 Splunk Enterprise 要安装 Splunk 通用转发器, 请参阅转发数据手册中的通用转发器部署概述与 Splunk 重型和轻型转发器 ( 这是完整 Splunk Enterprise 实例, 一些功能已更改或禁用 ) 不同的是, 通用转发器可以单独执行, 具有自己的一组安装程序有关转发器的介绍, 请参阅关于转发和接收查找您需要的内容您可以使用本面板左侧的目录, 或在右上角搜索框搜索内容如果想要看到更加具体的方案或者最佳实践, 请转到 Splunk 社区 Wiki 查看其他用户如何使用 Splunk IT 计划您的 Splunk Enterprise 安装安装概述本主题介绍了在计算机上安装 Splunk Enterprise 的高级指导安装 Splunk Enterprise 之前请先阅读本主题和本章内容安装基础知识 1. 审查安装的系统要求基于安装 Splunk Enterprise 的操作系统, 以及使用 Splunk Enterprise 的方式可能会适用其他要求 2. 有关 Splunk Enterprise 的生态系统, 请参阅 Splunk Enterprise 部署的各个组件, 有关安装程序在计算机上所安装内容的信息, 请阅读 Splunk 架构和流程 3. 请参阅确保您的 Splunk Enterprise 安装安全, 并根据实际情况为您计划安装 Splunk Enterprise 的计算机提供安全防护 4. 从 Splunk Enterprise 下载页面为您的系统下载安装软件包 5. 使用操作系统的分步安装说明进行安装 6. 如果您是首次安装 Splunk Enterprise, 请参阅搜索教程, 了解如何将数据索引到 Splunk 并使用 Splunk Enterprise 的搜索语言搜索该数据 7. 安装 Splunk Enterprise 后, 计算索引数据所需的空间有关更多信息, 请参阅评估存储要求 8. 要在生产环境中运行 Splunk Enterprise 并了解这样的环境需要多少硬件, 请参阅容量规划手册升级或迁移 Splunk Enterprise 实例? 要从早期 Splunk Enterprise 版本升级, 请参阅本手册中的如何升级 Splunk Enterprise 以获得信息和特定说明有关从一个版本迁移到另一个版本的提示, 请参阅首先阅读此主题了解您希望升级到的版本该主题位于本手册中的升级或迁移 Splunk Enterprise 要从一个主机移动 Splunk Enterprise 实例到另一个主机, 请参阅本手册中的迁移 Splunk 实例系统要求在下载并安装 Splunk Enterprise 之前, 请阅读本主题以了解有关 Splunk 支持的计算环境有关要下载的最新版本, 请参阅下载页面有关已知和已解决问题的详细信息, 请参阅发行说明有关部署的硬件规划讨论, 请参阅容量规划手册如果对未来版本的新功能有任何想法或请求, 请联系 Splunk 支持您还可以查看我们的产品介绍支持的服务器硬件架构 4

Splunk 在一些平台上提供支持 32 和 64 位架构有关详细信息, 请参阅下载页面支持的操作系统下表列出了 Splunk Enterprise 的可用计算平台第一个表格列出了 *nix 操作系统的可用性, 第二个表格列出了 Windows 操作系统的可用性使用这些表确定 Splunk Enterprise 是否可用于您的平台 1. 在左列查找您希望安装 Splunk Enterprise 的操作系统 2. 阅读中间列以找出匹配环境的计算架构该表显示了几种 Splunk 软件类型的可用性, 如同右侧的列中所示 :Splunk Enterprise Splunk Free Splunk Trial 和 Splunk 通用转发器与计算平台和 Splunk 软件类型相交的方框中的 ' '( 对勾标记 ) 意味着该 Splunk 软件可用于该平台方框空白意味着 Splunk 软件不可用于该平台如果没有列出您的平台或架构, 则软件不可用于该平台和架构某些方框可能使用其他字符要了解字符所代表的意思, 请参阅每张表格底部 Unix 操作系统操作系统架构 Enterprise Free Trial 通用转发器 x86(64 位 ) Solaris 10 和 11* SPARC x86(32 位 ) * Linux, 2.6+ Linux, 3.0+ x86(64 位 ) x86(32 位 ) x86(64 位 ) x86(32 位 ) PowerLinux, 2.6+ PowerPC zlinux, 2.6+ s390x FreeBSD 8 x86(64 位 ) x86(32 位 ) FreeBSD 9 x86(64 位 ) FreeBSD 10 x86(64 位 ) Mac OS X 10.9 和 10.10 Intel AIX 6.1 和 7.1 PowerPC HP/UX 11i v2 和 11i v3 Itanium * Splunk Enterprise 可用于 Solaris 10 Solaris 11 不支持 32 位 Splunk Enterprise 安装您必须使用 gnu tar 解压缩 HP/UX 安装归档 Windows 操作系统下表列出了 Splunk Enterprise 支持的 Windows 计算平台操作系统架构 Enterprise Free Trial 通用转发器 Windows Server 2008 x86(64 位 ) x86(32 位 ) *** *** *** Windows Server 2008 R2 5

Server 2012 和 Server 2012 R2 Windows 7 Windows 8 Windows 8.1 Windows 10 x86(64 位 ) x86(64 位 ) x86(32 位 ) *** *** x86(64 位 ) x86(32 位 ) *** *** x86(64 位 ) x86(32 位 ) *** *** x86(64 位 ) x86(32 位 ) *** *** *** Splunk 支持, 但是不建议在本平台和架构上使用 Splunk Enterprise 操作系统说明和其他信息 Windows Windows 上的某些 Splunk Enterprise 部分需要提升的用户权限才能正常运行请参阅以下主题 : Splunk 架构和流程 ( 本手册 ) 选择 Splunk 应以其身份运行的用户 ( 本手册 ) 有关确定如何监视远程 Windows 数据的注意事项 ( 数据导入手册 ) 支持分布式管理控制台 (DMC) 的操作系统 Splunk Enterprise DMC 仅能在 Linux Solaris 和 Windows 的某些版本上工作有关支持 DMC 的平台架构的具体信息, 请参阅故障排除手册中的支持的平台要了解在运行 DMC 之前必须满足的其他前提条件, 请参阅分布式管理控制台手册中的 DMC 前提条件已弃用操作系统和功能随着 Splunk 产品的开发, 我们将分步弃用对旧操作系统的支持有关已弃用或完全删除的平台和功能的信息, 请参阅发行说明中的已弃用功能在操作系统上创建和编辑不使用 UTF-8 字符集编码的配置文件 Splunk Enterprise 预计配置文件使用 ASCII 或 8 位通用字符集转换格式 (UTF-8) 如果您在操作系统上编辑或创建不使用 UTF-8 字符集编码的配置文件, 则确保您使用的编辑器能以 ASCII 或 UTF-8 格式保存 IPv6 平台支持所有支持 Splunk 的操作系统平台都可使用 IPv6 网络配置, 以下除外 : AIX PA-RISC 架构上的 HP/UX 有关 Splunk Enterprise 中 IPv6 支持的详细信息, 请参阅管理员手册中的为 IPv6 配置 Splunk 支持的浏览器 Splunk Enterprise 支持以下浏览器 : Firefox( 最新 ) Internet Explorer 9 10 和 11 Safari( 最新 ) Chrome( 最新 ) 当访问 Splunk Web 时, 切勿在兼容模式下使用 Internet Explorer Splunk Web 会警告您不支持 Internet Explorer 8 及以下版本如果因为其他应用您必须在兼容模式下使用 IE, 则您仍然需要使用 Splunk Web 支持的浏览器 Internet Explorer 版本 9 不支持在添加数据页面上进行文件上载使用 IE 10 或之后版本进行文件上载建议的硬件 6

如果计划为生产部署进行 Splunk Enterprise 评估, 则使用生产环境的典型硬件本硬件应满足或超过以下建议的硬件容量规格有关生产部署的硬件规划讨论, 请参阅容量规划手册中的适用于 Splunk Enterprise 的容量规划介绍 Splunk Enterprise 和虚拟机如果您在任何平台上的虚拟机 (VM) 中运行 Splunk Enterprise, 性能将会降低这是因为虚拟化的工作方式是将系统上的硬件提取到资源池系统上定义的 VM 将在必要时从这些资源池提取 Splunk Enterprise 的索引操作需要保持对一些资源的访问, 尤其是磁盘 I/O 如果在 VM 中或与其他 VM 一起运行 Splunk Enterprise, 索引和搜索性能会显著降低建议的最低硬件容量以下是针对单实例安装的确切要求 ( 低级到中级不等 ) 对于重要的企业和分布式部署, 请参阅容量规划手册平台推荐的硬件容量 / 配置最低支持的硬件容量非 Windows 平台 Windows 平台 2x 6 核,2+ GHz CPU,12GB RAM, 独立磁盘冗余阵列 (RAID) 0 或 1+0, 装有 64 位操作系统 2x 6 核,2+ GHz CPU,12GB RAM,RAID 0 或 1+0, 装有 64 位操作系统 1x1.4GHz CPU, 1GB RAM Intel Nehalem CPU 或等同于 2GHz 2GB RAM RAID 0 磁盘配置不提供故障容错部署 Splunk Enterprise 索引器到使用 RAID 0 配置的系统之前, 请确认 RAID 0 配置满足您的数据可靠性需求 Splunk 建议, 在任何 Splunk 实例上, 除了任何索引所需的空间之外, 您要保持至少 5GB 的可用硬盘空间 ( 包括转发器 ) 关于如何评估您需要的空间量的过程, 请参阅容量规划手册中的评估存储要求无法保持该级别的可用空间会导致性能下降操作系统故障和数据丢失通用和轻型转发器的硬件要求建议使用最低双核 1.5GHz+ 处理器,1GB+ RAM 1.0Ghz 处理器,512MB RAM 支持的文件系统平台文件系统 Linux ext2, ext3, ext4, btrfs, XFS, NFS 3/4 Solaris UFS, ZFS, VXFS, NFS 3/4 FreeBSD FFS, UFS, NFS 3/4, ZFS Mac OS X HFS, NFS 3/4 AIX JFS, JFS2, NFS 3/4 HP-UX VXFS, NFS 3/4 Windows NTFS, FAT32 如果在本表未列出的文件系统上运行 Splunk Enterprise, 软件可能运行名为 locktest 的启动实用工具, 以测试文件系统可行性 Locktest 是测试启动进程的程序如果 locktest 失败, 则该文件系统不适合运行 Splunk Enterprise 有关 *nix 系统文件描述符限制 (FD) 的注意事项 Splunk Enterprise 将为它监视的文件转发器连接部署客户端运行搜索的用户等在 *nix 系统上分配文件描述符通常, 默认文件描述符限制 ( 由 *nix 操作系统上的 ulimit -n 命令控制 ) 是 1024 您的 Splunk 管理员会确定正确的级别, 但是这至少应是 8192 即使 Splunk Enterprise 为每个活动分配单个文件描述符, 不难发现数百个文件的监视情况数百个发送数据的转发器, 以及少数活跃用户读取和写入数据存储区都会耗尽默认设置您的 Splunk Enterprise 实例执行的任务越多, 它需要的 FD 越多您应在看到实例出现低 FD 限制问题的情况下增加 ulimit 值请参阅故障排除手册中有关 ulimit 的信息本注意事项不适用于基于 Windows 的系统有关网络文件系统 (NFS) 的注意事项 7

当使用网络文件系统 (NFS) 作为 Splunk 索引的存储介质时, 考虑文件级别存储的所有后果使用数据块级别存储而不是文件级别存储来索引数据在具有可靠的高带宽低延迟链接的环境, 或具备提供高可用性群集网络存储的供应商的环境中,NFS 是较为合适的选择但是, 选择本策略的客户应与他们的硬件供应商紧密合作, 确认他们选择的存储平台符合性能和数据完整性方面的规格如果您使用 NFS, 应注意以下问题 : Splunk Enterprise 不支持软 NFS 安装这些安装会导致程序尝试在安装上进行文件操作以报告错误, 并在故障后继续进行仅硬 NFS 安装 ( 客户端在故障时继续尝试联系服务器的安装 ) 对 Splunk Enterprise 而言较为可靠不禁用属性缓存如果您有其他应用程序需要禁用或减少属性缓存, 则必须为 Splunk Enterprise 提供启用属性缓存的单独安装不要在广域网 (WAN) 上使用 NFS 安装这样做会导致性能问题, 并导致数据丢失有关固态驱动器的注意事项当与布隆过滤器组合使用时, 固态驱动器 (SSD) 可为 Splunk 的罕见搜索 ( 在大量数据中请求少量结果的搜索 ) 提供较传统硬盘驱动器更显著的性能提升它们还提供整体并发搜索的性能提升有关通用互联网文件系统 (CIFS) / 服务器信息块 (SMB) 的注意事项在仅由 Windows 主机共同托管时, 对于以下目的,Splunk Enterprise 支持使用 CIFS/SMB 协议 : 搜索头合并冷或冻结的索引数据桶存储使用 CIFS 资源存储时, 确认连接到文件和共享级资源的用户对于资源有写入权限如果您使用第三方存储设备, 确保其 CIFS 实现与 Splunk Enterprise 实例以客户端运行实现相兼容在 Windows 上切勿试图将数据索引到映射的网络驱动器 ( 例如,"Y:\" 映射到一个外部共享 ) Splunk Enterprise 通过非物理驱动器 letter 禁用遇到的任何索引有关使用透明大页面内存管理方案的环境的注意事项如果您运行一个使用透明大内存页面的 Unix 环境, 在尝试安装 Splunk Enterprise 之前请参阅透明大内存页面和 Splunk 性能这不是 Windows 操作系统上的问题 Splunk Enterprise 架构和流程本主题介绍了高级别的 Splunk Enterprise 内部架构和流程如果您正寻找有关用于 Splunk Enterprise 的第三方组件的信息, 请参阅发行说明的信用部分 Splunk Enterprise 进程 Splunk Enterprise 服务器在您的主机 (splunkd) 上安装进程 splunkd 是可访问处理和索引流 IT 数据的分布式 C/C++ 服务器它还会处理搜索请求 splunkd 将通过一系列管道流处理和索引数据, 每个由一系列处理器组成管道是 splunkd 进程内的单个线程, 每个使用单个 XML 代码段配置处理器是单独且可重复使用的 C 或 C++ 函数, 并作为通过管道的 IT 数据流进行操作管道可以通过队列传输数据到另一个管道版本 6.2 中新增内容 :splunkd 还提供 Splunk Web 用户界面它允许用户搜索和导航数据, 并通过 Web 界面管理 Splunk Enterprise 部署通过 REpresentational State Transfer (REST) 与您的 Web 浏览器进行通信 splunkd 在端口 8089 上运行 Web 服务器, 默认启用 SSL/HTTPS 也会在端口 8000 上运行 Web 服务器, 默认关闭 SSL/HTTPS splunkweb 只在 Windows 中作为旧服务安装在 6.2 之前的版本中, 它为 Splunk Enterprise 提供 Web 界面现在, 它将安装并运行, 但是会立即退出您可以通过更改配置参数, 对其进行配置, 以在旧模式中运行在 Windows 系统上,splunkweb.exe 是 Splunk 从 pythonservice.exe 重命名的第三方开放源代码可执行文件因为这是重命名的文件, 所以不包含其他与 Splunk Enterprise for Windows 二进制文件的相同文件版本信息阅读有关 Splunk Enterprise 附带的其他 Windows 第三方二进制文件的信息安全模式中的 Splunk Enterprise 和 Windows 如果 Windows 处于安全模式,splunkd splunkweb 或 SplunkForwarder 服务都不会启动如果您尝试在安全模式中从开始菜单启动 Splunk Enterprise,Splunk Enterprise 将不会针对其服务未运行的事实发送告警 8

Windows 上的 Splunk Enterprise 的其他进程在 Splunk Enterprise 的 Windows 实例上, 除了介绍的两个服务之外, 当您在 Splunk Enterprise 实例上创建特定数据导入时,Splunk Enterprise 会使用其他进程当通过 Windows 特定数据导入的某些类型进行配置时, 将会运行这些输入 splunk.exe splunk.exe 是 Windows 版本的 Splunk Enterprise 控制应用程序它为程序提供命令行界面 (CLI) 它允许您启动停止和配置 Splunk Enterprise, 类似于 *nix splunk 程序因为控制 splunkd 和 splunkweb 进程的方式,splunk.exe 二进制文件需要提升的上下文才能运行在 Windows 系统上, 如果此程序未具备适当权限,Splunk Enterprise 可能无法正常运行如果您以本地系统用户身份安装 Splunk Enterprise, 则这不会成为问题 splunk-admon splunk-admon.exe 将会运行, 只要配置了 Active Directory (AD) 监视输入 splunkd 衍生出 splunk-admon, 用于附加到最近的可用 AD 域控制器, 并收集 AD 生成的更改事件 Splunk Enterprise 在索引中存储这些事件 splunk-perfmon splunk-perfmon.exe 将会运行, 此时配置 Splunk Enterprise 以监视本地 Windows 计算机的性能数据本二进制文件将附加到性能数据助手库, 这会查询系统上的性能库并提取瞬时和随时间变化的性能指标 splunk-netmon splunk-netmon 将会运行, 此时配置 Splunk Enterprise 以监视本地计算机的 Windows 网络信息 splunk-regmon splunk-regmon.exe 将会运行, 此时配置 Splunk 的注册表监视输入首先, 此输入最初将为注册表在当前状态中写入基准 ( 如果需要 ), 然后监视注册表随时间变化的更改 splunk-winevtlog 您可以使用本实用工具测试定义的事件日志集合, 同时它将在收集以进行调查时输出事件 Splunk Enterprise 的引擎内置 Windows 事件日志输入处理器 splunk-winhostmon splunk-winhostmon 在配置 Windows 的主机监视输入时, 将会运行此输入将获得有关 Windows 主机的详细信息 splunk-winprintmon splunk-winprintmon 在配置 Splunk 的打印监视输入时, 将会运行此输入将获得有关本地系统上 Windows 打印机和打印任务的详细信息 splunk-wmi 当对远程计算机配置性能监视事件日志或其他输入时, 将运行本程序根据配置输入方式的不同, 它会尝试在连接网络后附加并读取 Windows 事件日志, 或对指定远程计算机上的 Windows Management Instrumentation (WMI) 提供商执行 Windows Query Language (WQL) 查询架构图 9

有关其他随 Splunk Enterprise 分发的 Windows 第三方二进制文件的信息本主题提供了 Splunk Enterprise 和 Splunk 通用转发器软件包附带的第三方 Windows 二进制文件的其他信息有关通用转发器的更多信息, 请阅读转发数据手册中的关于转发和接收数据 Splunk Enterprise 附带的第三方 Windows 二进制文件 Splunk Enterprise 附带以下第三方 Windows 二进制文件除非指定, 否则仅 Splunk Enterprise 产品附带这些二进制文件二进制文件将为 Splunk Enterprise 提供功能, 如同其各个描述所述其中任何一个都不包含文件版本信息或认证码签名 ( 证明二进制文件真实性的证书 ) 此外,Splunk Enterprise 不提供对与第三方模块相关调试符号的支持注意 : 仅 Splunk Enterprise 附带的第三方二进制文件应用和脚本经测试可使用 Certified for Windows Server 2008 R2 (CFW2008R2) Windows 徽标合规性其他二进制文件应用或脚本, 如从互联网下载的文件, 未经合规性测试 Archive.dll Libarchive.dll 是多格式归档和压缩库 Splunk Enterprise 和 Splunk 通用转发器都包含本二进制文件 Bzip2.exe Bzip2 是无专利费高质量的数据压缩器它通常压缩文件到最佳可用技术 ( 统计压缩器的部分匹配预测 (PPM) 系统 ) 的 10% 至 15% 内, 同时压缩速度快约两倍, 解压缩速度快六倍 Jsmin.exe Jsmin.exe 是删除 JavaScript 文件的空白和注释的可执行文件, 减少了大小 Libexslt.dll Libexslt.dll 是为 libxslt(gnu 是非 Unix 网络对象模型环境 (GNOME) 项目的一部分 ) 开发的可扩展样式表语言转换 (EXSLT) 动态链接 C 库的扩展 Splunk Enterprise 和 Splunk 通用转发器都包含本二进制文件 Libxml2.dll Libxml2.dll 是可扩展标记语言 (XML) C 分析器和工具库该库为 GNOME 项目开发, 但可用在 GNOME 平台之外 Splunk Enterprise 和 Splunk 通用转发器都包含本二进制文件 Libxslt.dll Libxslt.dll 是为 GNOME 项目开发的 XML 样式表语言转换 (XSLT) 动态链接 C 库 XSLT 本身是一个 XML 语言, 用来定义 XML 的转换 Libxslt 基于 libxml2, 为 GNOME 项目开发的 XML C 库它还执行大部分 EXSLT 处理器便携扩展功能, 以及 Saxon 的评估和表达式扩展 10

Splunk Enterprise 和 Splunk 通用转发器都包含本二进制文件 Minigzip.exe Minigzip.exe 是 gzip 压缩工具的最小实现 Openssl.exe OpenSSL 项目是协作项目, 用来开发强大商业级功能全面和开放源代码工具套件, 以实现安全套接字层 (SSL v2/v3) 和传输层安全 (TLS v1) 协议以及全强度通用密码库 Splunk Enterprise 和 Splunk 通用转发器都包含本二进制文件 Python.exe Python.exe 是用于 Windows 的 Python 编程语言二进制文件 Pythoncom.dll Pythoncom.dll 是封装 Python 的对象链接与嵌入 (OLE) 自动化 API 的模块 Pywintypes27.dll Pywintypes27.dll 是为 Python 2.7 版本封装 Windows 类型的模块安装说明您可以获得操作系统的详细安装程序 : Windows Windows( 来自命令行 ) Linux Solaris Mac OS X FreeBSD AIX HP-UX 确保您的 Splunk Enterprise 安装关于确保 Splunk Enterprise 安全在设置并开始使用 Splunk Enterprise 安装或升级的时候, 执行一些额外步骤以确保 Splunk Enterprise 和数据安全采取适当的步骤以确保 Splunk Enterprise 减少攻击面并缓解大多数漏洞的风险和影响本部分着重强调了安装前安装期间及安装后确保 Splunk Enterprise 安全的诸多方法确保 Splunk Enterprise 安全手册提供可确保 Splunk Enterprise 安全的方法相关的更多信息您安装 Splunk Enterprise 前确保系统安全您安装 Splunk Enterprise 前, 确保操作系统安全强化所有 Splunk Enterprise 服务器操作系统如果贵组织没有内部强化标准, 请使用 CIS 强化基准至少限制对 Splunk Enterprise 服务器的 Shell 和命令行访问确保对所有 Splunk Enterprise 服务器的物理访问安全确保 Splunk Enterprise 最终用户实施物理和端点安全性安全安装 Splunk Enterprise 当您下载和安装 Splunk Enterprise 时, 验证 Splunk 安装的完整性和签名验证完整性通过使用诸如 Message Digest 5 (MD5) 和 SHA-512 的哈希函数比较哈希来验证 Splunk Enterprise 下载使用受信任版本的 OpenSSL 例如 :./openssl dgst -md5 <filename-splunk-downloaded.zip> 或./openssl dgst -sha512 <filename-splunk-downloaded.zip> 11

验证签名通过使用 Splunk GnuPG 公共密钥来验证下载的 RPM 软件包的真实性 1. 下载 GnuPG 公共密钥文件 ( 此链接在 TLS 上 ) 2. 使用以下方式安装密钥 : rpm --import <filename> 3. 使用以下方式验证软件包签名 : rpm -K <filename> 确保 Splunk Enterprise 安全的更多方法在您安装了 Splunk Enterprise 之后, 有更多的选择来确保配置安全配置用户验证和基于角色的访问控制设置用户和用户角色来控制访问权限 Splunk Enterprise 允许通过几种方法配置用户请在确保 Splunk Enterprise 安全中参阅以下信息内置验证系统请参阅使用 Splunk Enterprise 本机验证设置用户验证 LDAP 请参阅设置使用 LDAP 进行的用户验证通过外部验证系统进行脚本式验证 API, 例如,Pluggable Authentication Modules (PAM) 或 Remote Access Dial-In User Server (RADIUS) 请参阅设置使用外部系统进行的用户验证配置好用户后, 可分配确定并控制功能和访问级别的角色请参阅关于基于角色的用户访问权限使用 SSL 证书配置加密和验证 Splunk Enterprise 提供了一组默认的证书和密钥, 启用后可提供加密和数据压缩您还可以使用自己的证书和密钥确保浏览器和 Splunk Web 之间的通信安全, 以及从转发器发送到接收器 ( 例如, 索引器 ) 的数据的安全请参阅本手册中的关于使用 SSL 确保 Splunk 安全审计 Splunk Enterprise Splunk Enterprise 包含审计功能, 可以允许您跟踪数据的可靠性数据导入中的监视文件和目录确保 Splunk Enterprise 安全中的搜索审计事件强化您的 Splunk Enterprise 安装请参阅确保 Splunk Enterprise 安全中的以下主题来强化您的安装跨多个服务器部署安全密码使用 Splunk Enterprise 访问控制列表确保您服务帐户的安全禁用多余的 Splunk Enterprise 组件确保 Splunk Enterprise 在您网络上的安全在 Windows 上安装 Splunk Enterprise 选择 Splunk Enterprise 应以其身份运行的 Windows 用户在 Windows 上安装 Splunk Enterprise 时, 选择 Splunk Enterprise 以其身份运行的 Windows 用户当运行 Windows Splunk Enterprise 安装程序时, 它将为您显示 Splunk Enterprise 应以其身份运行的用户选项在安装之前阅读本主题, 以了解选择用户类型的后果您选择的用户取决于您希望 Splunk Enterprise 监视的内容 12

Splunk Enterprise 以其身份运行的用户确定它可监视的内容本地系统用户拥有对本地计算机上的所有数据而不是任何其他内容的访问权限本地系统之外的用户拥有您希望它对任何数据的访问权限, 但在安装 Splunk Enterprise 之前要将该访问权限授予给用户如果您知道要安装 Splunk Enterprise 的计算机不会访问远程 Windows 数据, 则参阅本手册中的在 Windows 上安装要使用命令提示符安装, 请参阅使用命令行在 Windows 上安装如果您需要访问远程 Windows 数据, 则请继续阅读本主题以了解有关您应当安装 Splunk Enterprise 并以此为角色的用户信息有关本地系统用户和其他用户选择 Windows Splunk Enterprise 安装程序提供两种安装方式 : 以本地系统用户身份, 或以您指定的 Windows 计算机或网络上的现有用户身份要使用 Splunk Enterprise 执行任何以下操作, 则必须以域用户身份安装它 : 远程读取事件日志远程收集性能计数器阅读网络共享的日志文件使用 Active Directory 监控枚举 Active Directory 架构这不是完整列表您指定的用户必须满足以下要求 : 是您想要监视的 Active Directory 域或林的成员 ( 当使用 AD 时 ) 是您安装 Splunk Enterprise 的服务器上的本地管理员组成员在安装 Splunk Enterprise 之前分配有特定用户安全权限请参阅本主题稍后的最低权限要求警告如果用户未满足这些最低要求, 则 Splunk Enterprise 安装可能会失败即使安装成功,Splunk Enterprise 也可能无法正常运行用户还具有独特的密码要求请参阅本主题稍后的 Splunk 用户帐户和密码问题如果不确定应以什么用户身份运行 Splunk Enterprise, 则参阅数据导入手册中的决定如何监视远程 Windows 数据的注意事项, 了解有关如何为 Splunk Enterprise 用户配置所需访问权限的信息用户帐户和密码问题以用户帐户身份安装 Splunk Enterprise 时出现的一个问题是, 任何已启用的密码强制执行安全策略会控制密码的有效性如果您的 Windows 服务器或网络强制执行密码更改, 要考虑以下问题 : 在密码到期之前更改密码, 并重新配置每台计算机上的 Splunk Enterprise 服务器以便使用更改的密码, 然后重新启动 Splunk Enterprise 配置帐户, 以便密码不会到期使用受管服务帐户请参阅本主题中的在 Windows Server 2008 Server 2012 和 Windows 7 上使用受管服务帐户在 Windows Server 2008 Windows Server 2012 Windows 7 和 Windows 8.x 上使用受管服务帐户如果您在 Active Directory 中运行 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows 7 或 Windows 8.x, 同时 AD 域具有至少一个 Windows Server 2008 R2 或 Server 2012 域控制器, 则可安装 Splunk Enterprise 以受管服务帐户 (MSA) 身份运行使用 MSA 的好处是 : 隔离服务帐户, 提高安全性管理员不再需要管理凭据或管理帐户密码将在到期后自动更改您无需手动设置密码或重新启动与这些帐户关联的服务管理员可以委派这些帐户的管理给非管理员使用 MSA 安装 Splunk Enterprise 之前要了解的一些重要事情是 : MSA 需要与在运行 Splunk Enterprise 的计算机上的域帐户相同的权限 MSA 必须是运行 Splunk Enterprise 计算机的本地管理员您无法在不同计算机上使用同一帐户, 如同域帐户一样在计算机上安装 Splunk Enterprise 之前, 您必须在运行 Splunk Enterprise 的计算机上正确配置和安装 MSA 请参阅 MS Technet 上的服务帐户分步指南 (http://technet.microsoft.com/enus/library/dd548356%28ws.10%29.aspx) 要使用 MSA 安装 Splunk Enterprise, 请参阅本手册中的将为网络或域用户准备用于 Splunk Enterprise 安装的 Windows 网络安全与远程访问注意事项 13

最低权限要求如果以域用户身份安装 Splunk Enterprise, 则运行该软件的服务器存在最低权限数量要求以下是以域用户身份安装 Splunk Enterprise 时,splunkd 和 splunkforwarder 服务需要的最低用户权限列表根据您希望监视数据来源的不同,Splunk Enterprise 用户可能需要其他权限 splunkd 或 splunkforwarder 服务所需的基本权限完全控制 Splunk Enterprise 的安装目录对您希望索引的任何平面文件的读取访问权限 splunkd 或 splunkforwarder 服务所需的本地 / 域安全策略用户权限分配作为服务登录的权限作为批处理任务登录的权限更换进程级别令牌的权限作为操作系统一部分的权限绕过遍历检查的权限警告安装之前未分配这些权限给 Splunk Enterprise 用户可能会导致 Splunk Enterprise 安装失败, 或者安装无法正常运行注意当以本地系统帐户身份运行时,Splunk Enterprise 无需这些权限如何分配这些权限本部分包含安装之前, 如何分配适当用户权限给 Splunk Enterprise 服务帐户的概念有关说明, 请参阅本手册中的将为网络或域用户准备用于 Splunk Enterprise 安装的 Windows 网络使用组策略分配权限给多台计算机要分配策略设置给 AD 域或林中的一些工作站和服务器, 您可以使用这些特定权限定义组策略对象 (GPO), 并跨域部署该 GPO 请参阅本手册中的将为网络或域用户准备用于 Splunk Enterprise 安装的 Windows 网络创建并启用 GPO 后, 您的域工作站和服务器将在下次计划 AD 复制周期 ( 通常为每 1.5 至 2 小时 ) 或下次启动时间选取更改或者, 您可以使用希望更新组策略的服务器上的 GPUPDATE 命令行实用工具强制 AD 复制当设置用户权限时,GPO 分配的权限将覆盖计算机上的相同本地安全策略权限您无法更改本设置要保留通过计算机本地安全策略定义的现有权限, 您还必须在 GPO 内分配这些权限故障排除权限问题介绍的权限是 splunkd 和 splunkforwarder 服务需要的权限可能需要其他权限, 这取决于您的使用情况和希望访问的数据类型许多用户权限分配和其他组策略限制可以防止 Splunk Enterprise 运行如果您遇到问题, 考虑使用进程监视器或 GPRESULT 等工具故障排除环境中的 GPO 应用程序将为网络或域用户准备用于安装的 Windows 网络重要安全信息这些说明需要对计算机和 / 或您希望进行 Splunk Enterprise 操作的 Active Directory 域具有完全管理访问权限在不具有本访问权限的情况下, 不要尝试执行本程序这些说明需要您对 Windows 网络进行更改由于对于 Splunk Enterprise 操作的低级别访问需求, 如果您希望作为用户而不是本地系统用户来运行 Splunk Enterprise, 这些更改是必要的这会构成一个重大的安全风险为了减低风险, 您也可以阻止 Splunk Enterprise 以其身份运行的用户进行交互登录, 并限制用户能通过其登录的工作站的数量如果您不了解它们附带的安全风险, 则不要执行这些说明如果计划以本地系统用户身份安装 Splunk Enterprise 或通用转发器, 则不要执行这些说明您作为网络或域用户而非本地系统用户, 准备用于 Splunk Enterprise 安装的 Windows 网络这些说明经测试适用于 Windows Server 2008 R2 Windows Server 2012 和 Windows Server 2012 R2, 可能与 Windows 的其他版本有所不同您使用这些说明分配的权限是成功安装 Splunk Enterprise 所需的最低权限您可能需要分配其他权限, 无论在本地安全策略或组策略对象 (GPO), 或您创建的用户和组帐户内, 以便 Splunk Enterprise 访问您需要的数据将为域用户准备用于 Splunk 安装的 Active Directory 14

准备 Active Directory, 以便以域帐户身份安装 Splunk Enterprise 或 Splunk 通用转发器当创建用户和组时, 遵照 Microsoft 的最佳实践 (http://technet.microsoft.com/en-us/library/bb727085.aspx) 这通常涉及为组织内的组创建特定组织单位您必须满足以下要求 : 创建组您运行 Active Directory 您是希望配置的 AD 域的域管理员您计划安装 Splunk Enterprise 的计算机是 AD 域的成员 1. 通过选择开始 > 管理工具 > Active Directory 用户和计算机来运行 Active Directory 用户和计算机工具 2. 载入程序后, 选择您希望准备用于 Splunk Enterprise 操作的域 3. 双击现有的容器文件夹, 或从操作菜单选择新建 > 组创建组织单位 4. 选择操作 > 新建 > 组 5. 键入代表 Splunk Enterprise 用户帐户的名称, 例如,Splunk Accounts 6. 确保组范围设置为域本地, 同时组类型会设置为安全 7. 单击确定创建组 8. 创建第二个组, 并指定代表已启用 Splunk Enterprise 计算机的名称, 例如,Splunk Enabled Computers 该组包含分配了权限以域用户身份运行 Splunk Enterprise 的计算机帐户 9. 确保组范围设置为域本地, 同时组类型会设置为安全分配用户和计算机给组如果您还未创建希望运行 Splunk Enterprise 的用户帐户, 则现在非常适合进行这项操作如果没有自己的内部政策, 请遵照 Microsoft 创建用户和组的最佳实践创建用户帐户后, 添加帐户到 Splunk Accounts 组, 并添加运行 Splunk Enterprise 的计算机帐户到 Splunk Enabled Computers 组完成后, 您可以退出 Active Directory 用户和计算机定义组策略对象 (GPO) 1. 选择开始 > 管理工具 > 组策略管理, 运行组策略管理控制台 (GPMC) 工具 2. 在左侧的树视图窗格中, 选择域 3. 单击组策略对象文件夹 4. 在 < 您的域 > 中的组策略对象文件夹中, 右键单击并选择新建 5. 键入代表分配用户权限给您应用的服务器的 GPO 名称例如,"Splunk Access" 6. 保持源启动器 GPO 字段的设置为 "(none)" 7. 单击确定以保存 GPO 添加权限到 GPO 1. 在 GPMC 时, 右键单击新建的组策略对象, 并选择编辑 2. 在组策略管理编辑器中, 在左窗格浏览计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配 a. 在右窗格中, 双击作为操作系统的一部分条目 b. 在打开的窗口中, 选中定义这些策略设置复选框 c. 单击添加用户或组... d. 在显示的对话框中, 单击浏览... e. 在打开的选中用户计算机服务帐户或组对话框中, 键入您之前创建的 "Splunk Accounts" 组名称, 然后单击检查名称... 如果有效,Windows 将为该名称添加下划线否则, 它将告诉您无法找到对象, 并提示您再次键入对象 15

名称 f. 单击确定关闭选择用户对话框 g. 单击确定关闭添加用户或组对话框 h. 再次单击确定关闭右侧属性对话框 3. 为以下其他权限重复步骤 2a-2h: 绕过遍历检查作为批处理任务登录作为服务登录更换进程级别令牌更改各个服务器管理员组成员以下步骤限制您应用该 GPO 服务器上管理员组成员警告 : 务必添加需要在各个服务器上访问管理员组下限制组策略设置的所有帐户否则您无管理权限访问应用该 GPO 的服务器 1. 在组策略管理编辑器窗口中, 在左窗格浏览计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 限制组 a. 在右窗格中, 右键单击并选择弹出菜单中的添加组 b. 在显示的对话框中, 键入管理员并单击确定 c. 在显示的属性对话框中, 单击本组成员 : 旁边的添加按钮 d. 在显示的添加成员对话框中, 单击浏览 e. 在打开的选中用户计算机服务帐户或组对话框中, 键入您之前创建的 "Splunk Accounts" 组名称, 然后单击检查名称... 如果有效,Windows 将为该名称添加下划线否则, 它将告诉您无法找到对象, 并提示您再次键入对象名称 f. 单击确定关闭选择用户对话框 g. 单击确定关闭添加用户或组对话框 h. 再次单击确定关闭组属性对话框 2. 为以下其他用户或组重复步骤 1a-1h: 域管理员需要成为应用 GPO 的各个服务器上管理员组成员的任何其他用户 3. 关闭组策略管理编辑器窗口以保存 GPO 限制 GPO 应用程序以选择计算机 1. 在 GPMC 时, 如果还未选定, 在 GPMC 左窗格选择您创建的 GPO 并添加权限 GPMC 将在右窗格显示有关 GPO 的信息 2. 在右窗格中, 安全过滤下, 单击添加... 3. 在显示的选择用户计算机或组对话框中, 键入 "Splunk Enabled Computers"( 或代表您之前创建的已启用 Splunk 计算机的组名称 ) 4. 单击检查名称如果该组有效,Windows 将为该名称添加下划线否则, 它将告诉您无法找到对象, 并提示您再次键入对象名称 5. 单击确定返回 GPO 信息窗口 6. 重复步骤 2-5 以添加 "Splunk Accounts" 组 ( 代表您之前创建的 Splunk 用户帐户的组 ) 7. 在安全过滤下, 单击验证用户条目以突出显示 8. 单击删除应用 GPO GPMC 将从安全过滤字段删除验证用户条目, 仅留下 "Splunk Accounts" 和启用 Splunk 的计算机 1. 在 GPMC 时, 在 GPMC 左窗格选择您希望应用到创建的 GPO 的域 16

2. 右键单击该域, 并在弹出的窗口中选择链接现有 GPO 注意 : 如果您仅希望 GPO 对您之前创建的 OU 产生影响, 那么选择 OU, 然后右键单击显示弹出菜单 3. 在显示的选择 GPO 对话框中, 选择您创建和编辑的 GPO 并单击确定 GPMC 将应用 GPO 到选定域 4. 从 GPMC 菜单选择文件 > 退出关闭 GPMC 菜单注意 :Active Directory 控制出现组策略更新的时间, 同时 GPO 将应用到域中的计算机通常, 复制每 90-120 分钟执行一次在以域用户身份安装 Splunk 之前, 您必须等待该时间量或者, 您可在希望更新组策略的计算机上, 从命令提示符运行 GPUPDATE /FORCE 以强制组策略更新使用受管系统帐户安装 Splunk 或者, 您可以使用受管系统帐户安装 Splunk Enterprise 遵照这些说明进行安装 : 1. 创建和配置您计划用于监视 Windows 数据的 MSA 注意 : 您可以使用本主题之前的将为域帐户准备用于 Splunk Enterprise 安装的 Active Directory 分配适当安全策略权限和组成员资格给 MSA 2. 以本地系统用户身份从命令行安装 Splunk 重要提示 : 您必须从命令行安装 Splunk Enterprise, 并使用 LAUNCHSPLUNK=0 标记防止 Splunk Enterprise 在安装完成后运行 3. 安装完成后, 使用 Windows 资源管理器或 ICACLS 命令行实用工具以便授予 MSA 完全控制权限给 Splunk Enterprise 安装目录及其子目录注意 : 您可能需要将 NTFS 权限继承与 Splunk Enterprise 安装目录分开, 并明确分配该目录和所有子目录的权限 4. 遵照本手册中的在 Windows 安装期间修改选定的用户主题说明更改 Splunk 服务帐户的默认用户在本例中, 适当的用户是您在安装 Splunk Enterprise 之前配置的 MSA 重要提示 : 当完成步骤 4 时, 您必须附加美元符号 ($) 到用户名末尾以便 MSA 正常运行例如, 如果 MSA 是 SPLUNKDOCS\splunk1, 则必须在适当的服务对话框的适当字段输入 SPLUNKDOCS\splunk1$ 您必须同时为 splunkd 和 splunkweb 服务执行这项操作 5. 确认 MSA 拥有作为服务登录权限注意 : 如果使用服务控制面板更改服务帐户,Windows 将自动授予该权限给 MSA 6. 启动 Splunk Enterprise 它以上述配置的 MSA 运行, 同时可以访问 MSA 拥有访问权限的所有数据使用 PowerShell 配置您的 AD 域您还可以使用 PowerShell 为 Splunk Enterprise 服务配置 Active Directory 环境要这样做, 首先打开 PowerShell 提示符 ( 以管理员身份 ) 然后, 完成以下步骤 : 创建 Splunk 用户帐户 1. 如果需要, 则导入 ActiveDirectory PowerShell 模块 : > Import-Module ActiveDirectory 2. 输入以下内容创建新用户 : > New-ADUser -Name <user> ` -SamAccountName <user> ` -Description Splunk Service Account ` -DisplayName Service:Splunk ` -Path <organizational unit LDAP path> ` -AccountPassword (Read-Host -AsSecureString Account Password ) ` -CannotChangePassword $true ` -ChangePasswordAtLogon $false ` -PasswordNeverExpires $true ` -PasswordNotRequired $false ` -SmartcardLogonRequired $false ` -Enabled $true ` -LogonWorkstations <server> ` 在本例中 : 17

命令创建一个其密码不会变更的帐户, 该密码不会在首次登录后强制变更, 也不会到期 <user> 是您希望创建的用户名称 <organizational unit LDAP path> 是放置新用户的组织单元名称, 指定格式为 X.500, 例如 :CN=Managed Service Accounts,DC=splk,DC=com <server> 是单个服务器或逗号分隔的列表, 指定了帐户可登录的服务器注意 : 不需要 LogonWorkstations 参数, 但您可以限制受管服务帐户可以登录域的工作站配置 Splunk Enterprise 服务器一旦您配置了用户帐户, 使用 PowerShell 以帐户正确的权限配置服务器, 以运行 Splunk Enterprise 警告 : 这是一个高级程序只有在您认为适当并了解所产生的后果 ( 包括由于拼写错误和格式不正确文件而造成的问题 ) 时才能执行这些步骤在下例中 : <user> 是您创建将运行 Splunk Enterprise 的用户名称 <domain> 是用户驻留的域 <computer> 是您希望进行变更而连接到的远程计算机要从 PowerShell 配置本地安全策略 : 1. 连接到您希望配置的服务器如果使用本地服务器, 只需要登录并打开 PowerShell 提示符 ( 如果未执行此操作 ) 如果连接到远程服务器, 在远程主机上创建一个新的 PSSession, 如下所示您可能需要在能够进行远程连接之前禁用 Windows Firewall 要这样做, 请阅读 MS TechNet(Windows Server 至 Server 2008 R2 版本 ) 中需要禁用 Windows 防火墙 (http://technet.microsoft.com/enus/library/cc766337(v=ws.10).aspx), 以及 MS TechNet 中 Windows PowerShell 高级安全管理防火墙 (http://technet.microsoft.com/en-us/library/hh831755.aspx) > Enter-PSSession -Computername <computer> 2. 将服务帐户添加到本地管理员组 : > $group = [ADSI] WinNT://<server>/Administrators,group > $group.add( WinNT://<domain>/<user> ) 3. 在本地计算机上创建一个包含用户权限设置当前状态的备份文件 > secedit /export /areas USER_RIGHTS /cfg OldUserRights.inf 4. 使用备份创建新用户权限信息文件, 以在导入时为 Splunk Enterprise 用户分配提升的权限 > Get-Content OldUserRights.inf ` Select-String -Pattern ` (SeTcbPrivilege SeChangeNotify SeBatchLogon SeServiceLogon SeAssignPrimaryToken SeSystemProfile) ` %{ $_,<domain>\<user> } Out-File NewUserRights.inf 5. 为新策略信息文件创建一个标头并将标头和新信息文件连接在一起 : > ( [Unicode], Unicode=yes ) Out-File Header.inf > ( [Version], signature=` `$CHICAGO`$`, Revision=1 ) Out-File -Append Header.inf > ( [Privilege Rights] ) Out-File -Append Header.inf > Get-Content NewUserRights.inf Out-File -Append Header.inf 6. 查阅策略信息文件, 确保标头书写恰当且文件无语法错误 7. 将文件导入到计算机本地安全策略数据库中 : > secedit /import /cfg Header.inf /db C:\splunk-lsp.sdb > secedit /configure /db C:\splunk-lsp.sdb 为 Splunk Enterprise 安装准备本地计算机或非 AD 网络如果未使用 Active Directory, 遵照这些说明, 在希望安装 Splunk Enterprise 的计算机上, 对希望 Splunk 以其身份运行的用户授予管理访问权限 18

1. 添加用户到本地管理员组, 以便为 Splunk Enterprise 应以其身份运行的用户授予管理员权限 2. 选择开始 > 管理工具 > 本地安全策略, 启动本地安全策略将启动本地安全策略, 并显示本地安全设置 3. 在左窗格中, 展开本地策略, 然后单击用户权限分配 a. 在右窗格中, 双击作为操作系统的一部分条目 b. 单击添加用户或组... c. 在显示的对话框中, 单击浏览... d. 在打开的选中用户计算机服务帐户或组对话框中, 键入您之前创建的 "Splunk Computers" 组名称, 然后单击检查名称... 如果有效,Windows 将为该名称添加下划线否则, 它将告诉您无法找到对象, 并提示您再次键入对象名称 e. 单击确定关闭选择用户对话框 f. 单击确定关闭添加用户或组对话框 g. 再次单击确定关闭右侧属性对话框 4. 为以下其他权限重复步骤 3a-3g: 绕过遍历检查作为批处理任务登录作为服务登录更换进程级别令牌完成这些步骤后, 您可以以所需用户身份安装 Splunk 在 Windows 上安装本步骤介绍了使用基于图形用户界面 (GUI) 的安装程序, 在 Windows 上安装 Splunk Enterprise 的程序如果从命令行安装, 则可提供更多选项 ( 如静默安装 ) 警告 : 在 64 位 Windows 系统上, 不能再安装或运行 Splunk Enterprise 的 32 位 Windows 版本也不能在运行不支持的 OS 的计算机上 ( 例如, 在运行 Windows Server 2003 的计算机上 ) 安装 Splunk Enterprise 请参阅系统要求如果您尝试以这种方式运行安装程序, 它会警告您并阻止安装注意 : 如果希望安装 Splunk 通用转发器, 请参阅转发数据手册中的通用转发器部署概述与 Splunk Enterprise 重型和轻型转发器 ( 这是完整 Splunk Enterprise 实例, 一些功能被更改或禁用 ) 不同的是, 通用转发器是完全单独的可执行文件, 具有自己的一组安装程序有关转发器的介绍, 另请参阅转发数据手册中的关于转发和接收升级? 如果您计划升级 Splunk Enterprise, 请在继续之前查看如何升级 Splunk 以了解说明和迁移注意事项请注意 Splunk Enterprise 不支持在升级期间更改管理或 HTTP 端口安装之前选择 Splunk 应以其身份运行的 Windows 用户安装之前, 请务必阅读选择 Splunk 应以其身份运行的 Windows 用户, 确定 Splunk 应以其身份运行的用户帐户以满足特定需求安装软件之前, 您选择的用户具有所需的特定后果, 同时可在此找到更多详细信息 Splunk Enterprise for Windows 和防病毒软件 Splunk Enterprise 的索引子系统需要大量磁盘吞吐量设备驱动程序在 Splunk Enterprise 和操作系统之间的任何软件都会占用 Splunk Enterprise 的处理能力, 导致缓慢甚至未响应系统这包括防病毒软件配置此类软件非常重要, 避免在启动 Splunk Enterprise 安装之前访问扫描 Splunk 安装目录和进程通过 GUI 安装程序安装 Splunk Enterprise Windows 安装程序是 MSI 文件 1. 要启动安装程序, 请双击 splunk.msi 文件 19

安装程序运行并显示 Splunk Enterprise 安装程序面板 2. 要继续安装, 请选中选中此框以接受许可协议复选框这样就能激活自定义安装和安装按钮注意 : 如果您希望查看许可协议, 点击查看许可协议按钮安装选项 Splunk Enterprise 版本 6.2 中的新内容 :Windows 安装程序给您两个选择 : 使用默认安装设置进行安装, 或在安装前配置所有设置安装程序默认执行下列操作 : 在系统驱动器 ( 启动您的 Windows 系统的驱动器 ) 上的 \Program Files\Splunk 中安装 Splunk Enterprise 安装 Splunk Enterprise 到默认管理和 Web 端口上以本地系统用户身份配置 Splunk Enterprise 请阅读本手册中的选择 Splunk Enterprise 应以其身份运行的用户以了解所产生的后果为软件创建开始菜单快捷方式 3a. 如果您希望更改任何默认安装设置, 点击自定义选项按钮并按此主题中的自定义选项说明进行操作 3b. 或者, 点击安装按钮进行软件的默认安装然后, 继续步骤 8 自定义选项注意 : 在每个面板上, 您可以单击下一步继续单击返回返回上一步, 或单击取消以取消安装并退出安装程序安装程序显示安装 Splunk Enterprise 到面板注意 : 默认情况下, 安装程序将 Splunk Enterprise 放到系统驱动器的 \Program Files\Splunk 中在整个文档集中,Splunk Enterprise 的安装目录称为 $SPLUNK_HOME 或 %SPLUNK_HOME% 4. 单击更改指定其他安装 Splunk Enterprise 的位置, 或单击下一步接受默认值安装程序显示选择 Splunk Enterprise 应以其身份运行的用户面板 20

Splunk Enterprise 将安装并运行两个 Windows 服务 :splunkd 和 splunkweb 版本 6.2 中的新内容 :splunkd 服务处理所有的 Splunk Enterprise 操作, 安装的 splunkweb 服务仅在旧模式下运行这些服务将以本面板指定的用户身份安装和运行您可以选择以本地系统用户或其他用户身份运行 Splunk Enterprise 重要提示 : 如果选择以其他用户身份运行 Splunk Enterprise, 该用户必须 : 是 Active Directory 域的成员 ( 您无法以本地系统帐户之外的本地计算帐户安装 Splunk Enterprise) 拥有您正执行安装计算机的本地管理员权限, 以及拥有特定用户权限和其他其他权限, 这取决于希望从远程计算机收集的数据类型有关这些权限要求的其他信息, 请参阅选择 Splunk Enterprise 应以其身份运行的 Windows 用户如果还未预先阅读以上链接的主题, 则立即停止安装并首先阅读本主题 5. 选择用户类型并单击下一步如果您选择的是 Local System 用户, 请继续到步骤 7 否则, 安装程序将显示登录信息 : 指定用户名和密码面板 6. 指定用户名和密码以安装和运行 Splunk Enterprise, 并单击下一步重要提示 : 必须以 domain\username 格式指定用户名称当指定用户的时候包含域名失败将导致安装失败这必须是安全上下文的有效用户, 同时必须是 Active Directory 域的启用成员 Splunk Enterprise 必须在 Local System 帐户或拥有有效密码和本地管理员权限的有效用户帐户下运行安装程序将显示安装摘要面板 7. 单击安装以继续安装程序运行并显示安装完成面板 21

警告 : 如果在安装程序期间指定了错误的用户, 则会看到两个用来介绍的弹出窗口错误如果出现这种情况,Splunk Enterprise 将默认以本地系统用户身份安装在这种情况下,Splunk Enterprise 不会自动启动您可以继续安装到最后面板, 但取消选中使用 Splunk 启动浏览器复选框以防止浏览器启动然后, 在启动 Splunk 之前, 使用这些说明切换到适当的用户 8. 如果需要, 现在选中使用 Splunk 启动浏览器和创建开始菜单快捷方式单击完成如果选中适当复选框, 安装完成时,Splunk Enterprise 将会启动, 并且会在支持的浏览器中启动注意 : 安装后首次访问 Splunk Web 时, 使用默认用户名 admin 和密码 changeme 登录不要使用您在安装进程期间提供的用户名和密码在 Web 浏览器中启动 Splunk 要在计算机上启动 Splunk Enterprise 后访问它, 您可以 : 或单击开始 > 程序 > Splunk 中的 Splunk 图标打开 Web 浏览器并导航到 http://localhost:8000 使用默认凭据登录 : 用户名 :admin 和密码 :changeme 首次成功登录 Splunk Enterprise 后, 它将提示您立即更改密码通过输入新密码并单击更改密码按钮这么做, 或者单击跳过按钮稍后更改注意 : 如果未更改密码, 请记住, 访问该计算机并了解默认密码的所有用户都可访问您的 Splunk 实例请务必尽快更改管理员密码, 并记住更改的密码避免 Internet Explorer 增强安全弹出窗口如果正在使用 Internet Explorer 访问 Splunk Web, 添加以下 URL 到允许的内网组或完全受信组, 避免收到增强安全弹出窗口 : quickdraw.splunk.com 您 Splunk Enterprise 实例的 URL 更改 Splunk Web 或 splunkd 服务端口如果希望在其他端口上使用 Splunk Web 服务或 splunkd 服务, 您可以更改默认值要更改 Splunk Web 服务端口 : 打开命令提示符更改为 %SPLUNK_HOME%\bin 目录键入 splunk set web-port #### 并按 Enter 键要更改 splunkd 端口 : 如果未存在, 打开命令提示符更改为 %SPLUNK_HOME%\bin 目录键入 splunk set splunkd-port #### 并按 Enter 键注意 : 如果指定一个端口, 同时该端口不可用, 或者默认端口不可用, 则 Splunk 将自动选择下一个可用端口安装或升级许可证如果您正执行 Splunk Enterprise 的新安装或从一种许可证类型切换到另一种类型, 则必须安装或更新许可证后续内容是什么? 22

安装好 Splunk Enterprise 后, 您可以了解后续内容, 或查看数据导入手册中的这些主题, 了解有关添加 Windows 数据的信息 : 监视 Windows 事件日志数据监视 Windows 注册表数据监视基于 WMI 的数据决定如何监视远程 Windows 数据的注意事项使用命令行在 Windows 上安装您可在 Windows 上通过命令行安装 Splunk Enterprise 重要提示 : 要安装 Splunk 通用转发器, 请参阅转发数据中的通用转发器部署概述与 Splunk Enterprise 重型和轻型转发器 ( 这是完整 Splunk 实例, 一些功能被更改或禁用 ) 不同的是, 通用转发器是单独的可执行文件, 具有自己的一组安装程序有关转发器的介绍, 请参阅转发数据中的关于转发和接收在 64 位硬件上运行 64 位 Splunk Enterprise 其性能较 32 位版本有所改进如果尝试在 64 位系统上运行 32 位安装程序, 安装程序将发出警告何时从命令行安装? 您可以从命令提示符或 PowerShell 窗口, 在单个计算机上手动安装 Splunk Enterprise 这里是从命令行安装非常有用的一些方案 : 您希望安装 Splunk Enterprise, 但不希望立即启动它您希望使用脚本自动化 Splunk Enterprise 的安装您希望在稍后复制的系统上安装 Splunk Enterprise 您希望使用部署工具, 如组策略或系统中心配置管理器您希望在运行 Windows Server Core 版本的系统上安装 Splunk Enterprise 使用 PowerShell 安装您可以从 PowerShell 窗口安装 Splunk Enterprise 所需步骤与从命令提示符安装所需步骤相同升级? 要升级 Splunk Enterprise, 请查看如何升级 Splunk 以了解说明和迁移注意事项请注意 Splunk Enterprise 不支持在升级期间更改管理或 HTTP 端口安装之前选择 Splunk Enterprise 应以其身份运行的 Windows 用户安装之前, 请参阅选择 Splunk Enterprise 应以其身份运行的 Windows 用户, 确定 Splunk Enterprise 应以其身份运行的用户帐户以满足您的数据收集需求安装软件之前, 您选择的用户具有所需操作的特定后果将为域用户准备用于 Splunk Enterprise 安装的域在安装之前, 请参阅将为网络或域用户准备用于 Splunk Enterprise 安装的 Windows 网络了解如何配置您的域以运行 Splunk Enterprise 相关的说明 Splunk Enterprise for Windows 和防病毒软件 Splunk Enterprise 的索引子系统需要大量磁盘吞吐量防病毒软件, 或设备驱动程序在 Splunk Enterprise 和操作系统之间的任何软件都会大大降低处理能力, 导致缓慢甚至未响应系统配置此类软件很重要, 避免在启动安装之前访问扫描 Splunk Enterprise 安装目录和进程从命令行安装 Splunk Enterprise 您可以调用 msiexec.exe, 从命令行安装 Splunk Enterprise 如果运行 PowerShell, 您可以执行相同程序对于 32 位平台, 使用 splunk-<...>-x86-release.msi: msiexec.exe /i splunk-<...>-x86-release.msi [<flag>]... [/quiet] 对于 64 位平台, 使用 splunk-<...>-x64-release.msi: msiexec.exe /i splunk-<...>-x64-release.msi [<flag>]... [/quiet] 23

<...> 的值因特定版本而异 ; 例如,splunk-5.0-125454-x64-release.msi 命令行标记允许您在安装时配置 Splunk Enterprise 使用命令行标记, 您可以指定一些设置, 包括但不限于 : 要索引的 Windows 事件日志要监视的 Windows 注册表单元要收集的 Windows Management Instrumentation (WMI) 数据 Splunk Enterprise 以其身份运行的用户有关您的 Splunk 实例应以其身份安装的用户类型信息, 请参阅选择 Splunk Enterprise 应以其身份运行的 Windows 用户启用 Splunk 的附带应用程序配置 ( 如轻型转发器 ) Splunk Enterprise 是否应在安装完成后自动启动注意 : 安装后首次访问 Splunk Web 时, 使用默认用户名 admin 和密码 changeme 登录支持的标记以下是通过命令行安装 Splunk for Windows 时可用的标记列表重要提示 :Splunk 通用转发器是单独的可执行文件, 带自己的安装标记有关通用转发器支持的安装标记的信息, 请参阅转发数据手册的通过命令行部署 Windows 通用转发器标记用途为何默认 AGREETOLICENSE=Yes No INSTALLDIR="<directory_path>" SPLUNKD_PORT=<port number> 使用本标记以同意 EULA 对于静默安装, 本标记必须被设置为 Yes 使用本标记指定要安装的目录在整个文档集中,Splunk 的安装目录被称为 $SPLUNK_HOME 或 %SPLUNK_HOME% 使用这些标记指定 splunkd 和 splunkweb 要使用的替代端口注意 : 如果指定端口, 同时该端口不可用, 则 Splunk 将自动选择下一个可用端口 No C:\Program Files\Splunk 8089 WEB_PORT=<port number> 使用这些标记指定 splunkd 和 splunkweb 要使用的替代端口注意 : 如果指定端口, 同时该端口不可用, 则 Splunk 将自动选择下一个可用端口 8000 WINEVENTLOG_APP_ENABLE=1/0 WINEVENTLOG_SEC_ENABLE=1/0 WINEVENTLOG_SYS_ENABLE=1/0 WINEVENTLOG_FWD_ENABLE=1/0 WINEVENTLOG_SET_ENABLE=1/0 使用这些标记指定 Splunk 是否应索引特定 Windows 事件日志 : 应用程序日志安全日志系统日志转发器日志设置日志注意 : 您可以指定多个标记 0 ( 关闭 ) REGISTRYCHECK_U=1/0 REGISTRYCHECK_BASELINE_U=1/0 使用本标记指定 Splunk 是否应从中索引事件捕获 Windows 注册表用户单元 (HKEY_CURRENT_USER) 的基准快照注意 : 您可以同时设置这两个动作 0 ( 关闭 ) REGISTRYCHECK_LM=1/0 REGISTRYCHECK_BASELINE_LM=1/0 使用本标记指定 Splunk 是否应从中索引事件捕获 Windows 注册表用户单元 (HKEY_LOCAL_MACHINE) 的基准快照注意 : 您可以同时设置这两个动作 24 0 ( 关闭 )

使用这些标记指定 Splunk 应索引哪个基于 WMI 的流行性能指标 : WMICHECK_CPUTIME=1/0 WMICHECK_LOCALDISK=1/0 WMICHECK_FREEDISK=1/0 WMICHECK_MEMORY=1/0 CPU 使用情况本地磁盘使用情况可用磁盘空间内存统计数据警告 : 如果需要本 Splunk 实例以监视远程 Windows 数据, 则还必须指定 LOGON_USERNAME 和 LOGON_PASSWORD 安装标记 Splunk 无法收集任何没有明确访问权限的远程数据此外, 您指定的用户需要特定权限管理权限和其他权限, 您必须在安装之前配置有关所需凭据的其他信息, 请阅读本手册的选择 Splunk 应以其身份运行的 Windows 用户 Splunk 可以索引更多基于 WMI 的指标有关特定信息, 请参阅数据导入手册中的监视 WMI 数据 0 ( 关闭 ) LOGON_USERNAME="<domain\username>" LOGON_PASSWORD="<pass>" 为用户使用这些标记提供 Splunk 以其身份运行用户的 domain\username 和密码信息使用这些凭据配置 splunkd 和 splunkweb 服务对于 LOGON_USERNAME 标记, 您必须使用 domain\username 格式指定用户名的域 : 如果希望本 Splunk Enterprise 安装监视任何远程数据, 则需要这些标记有关要使用凭据的其他信息, 请阅读本手册的选择 Splunk 应以其身份运行的 Windows 用户无 SPLUNK_APP="<SplunkApp>" 使用本标记指定为本次 Splunk 安装启用的附带 Splunk 应用程序配置目前,<SplunkApp> 的支持的选项是 :SplunkLightForwarder 和 SplunkForwarder 这将指定本 Splunk 实例分别作为轻型转发器或重型转发器有关更多信息, 请参阅转发数据手册中的关于转发和接收主题重要提示 : 完整版本的 Splunk 不会启用通用转发器通用转发器是可单独下载的可执行文件, 带自己的安装标记注意 : 如果在此指定 Splunk 转发器或轻型转发器, 则还必须指定 FORWARD_SERVER="<server:port>" 要安装不带任何应用程序的 Splunk Enterprise, 只需忽略本标记无 FORWARD_SERVER="<server:port>" * 仅 * 在您使用 SPLUNK_APP 标记启用 Splunk 重型或轻型转发器时, 使用本标记指定本转发器将发送数据的服务器和 Splunk 服务器端口重要提示 : 本标记要求还设置 SPLUNK_APP 标记无 DEPLOYMENT_SERVER="<host:port>" LAUNCHSPLUNK=0/1 使用本标记指定推送配置更新的部署服务器输入部署服务器的名称 ( 主机名或 IP 地址 ) 和端口使用本标记指定 Splunk 是否应在系统启动后自动启动重要提示 : 如果使用 SPLUNK_APP 标记启用 Splunk 转发器, 则安装程序将配置 Splunk 为自动启动并忽略本标记无 1 ( 打开 ) INSTALL_SHORTCUT=0/1 使用本标记指定安装程序是否应在桌面和开始菜单创建 Splunk 快捷方式 1 ( 打开 ) 静默安装要静默运行安装, 添加 /quiet 到安装命令字符串的末尾如果您的系统已开启用户访问控制 ( 有些系统默认开启 ), 则必须以管理员身份运行安装为此 : 25

当打开命令提示时, 右键单击并选择以管理员身份运行使用命令窗口运行静默安装命令注意 : 使用 PowerShell 作为命令行界面时也同样适用示例以下是使用不同标记的一些示例以本地系统用户身份静默安装 Splunk Enterprise msiexec.exe /i Splunk.msi /quiet 启用 Splunk 重型转发器并为 Splunk Enterprise 以其身份运行的用户指定凭据 msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" LOGON_USERNAME="AD\splunk" LOGON_PASSWORD="splunk123" 启用 SplunkForwarder, 启用 Windows 系统事件日志的索引并以静默模式运行安装程序 msiexec.exe /i Splunk.msi SPLUNK_APP="SplunkForwarder" FORWARD_SERVER="<server:port>" WINEVENTLOG_SYS_ENABLE=1 /quiet 其中,"<server:port>" 是本计算机应发送数据的服务器和 Splunk 服务器端口后续内容是什么? 安装好 Splunk Enterprise 后, 后续内容是什么? 您还可以参阅数据导入手册中的本主题, 了解有关如何监视 Windows 数据的注意事项修正 Windows 安装期间选择的用户如果在 Splunk Enterprise 安装期间选择了其他用户, 同时该用户不存在或者可能您键入了错误信息, 只要您还未启动 Splunk, 则可转到 Windows 服务控制管理器并输入正确的信息如果已经启动了 Splunk, 则停止卸载并重新安装它如果在 Windows GUI 安装进程期间指定了无效用户, 则会看到两个弹出错误窗口 1. 在控制面板 > 管理工具 > 服务中, 找到 splunkd 和 splunkweb 服务它们未启动, 且由本地系统用户拥有 2. 右键单击每个服务, 并选择属性 3. 单击登录选项卡 4. 单击本帐户按钮, 并填写正确的域 \ 用户名和密码 5. 单击应用 6. 单击确定 7. 如果您在传统模式下运行 Splunk Enterprise, 为第二个服务重复步骤 2 至 6 您必须同时为 splunkd 和 splunkweb 执行这项操作 ) 注意 : 切勿永久在传统模式下运行 Splunk Enterprise 有关传统模式的信息, 请参阅启动和停止 Splunk Enterprise 8. 您现在可以从服务管理器或命令行界面启动一个服务, 或两个服务都启动在 Unix Linux 或 Mac OS X 上安装 Splunk Enterprise 在 Linux 上安装您可以使用 RPM 或 DEB 软件包或 tar 文件在 Linux 上安装 Splunk Enterprise 注意 : 要安装 Splunk 通用转发器, 请参阅转发数据手册中的通用转发器部署概述与 Splunk 重型和轻型转发器 ( 这是完整 Splunk Enterprise 实例, 一些功能被更改或禁用 ) 不同的是, 通用转发器是单独的可执行文件, 具有自己的一组安装程序有关转发器的介绍, 请参阅关于转发和接收 26

升级? 如果正在升级, 请在升级之前查看如何升级 Splunk 以了解说明和迁移注意事项 Tar 文件安装要在 Linux 系统上安装 Splunk Enterprise, 使用 tar 命令展开 tar 文件到适当目录 : tar xvzf splunk_package_name.tgz 默认安装目录是当前工作目录中的 splunk 要安装到 /opt/splunk, 使用以下命令 : tar xvzf splunk_package_name.tgz -C /opt 注意 : 使用 tar 文件安装 Splunk Enterprise 时 : tar 的一些非 GNU 版本可能没有 -C 参数在这种情况下, 要安装到 /opt/splunk( 无论是 cd 至 /opt), 或在运行 tar 命令之前, 将 tar 文件放入 /opt 这种方法适用于您的计算机文件系统上的任何可访问目录 Splunk Enterprise 不会创建 splunk 用户如果希望 Splunk Enterprise 以特定用户身份运行, 您必须在安装之前手动创建用户确保磁盘分区拥有足够空间可容纳您计划保留索引的未压缩数据量 RedHat RPM 安装确保您想要的 Splunk 构件 rpm 软件包可在目标服务器本地使用通过 splunk 用户验证文件是否可读且可执行如果需要, 更改访问 : chmod 744 splunk_package_name.rpm 要在默认目录 /opt/splunk 安装 Splunk RPM: rpm -i splunk_package_name.rpm 要在其他目录安装 Splunk, 使用 --prefix 标记 : rpm -i --prefix=/opt/new_directory splunk_package_name.rpm 注意 : 不建议在非默认目录中以 rpm 安装, 因为 RPM 在升级时不提供安全 net, 如果 --prefix 未同意, 那么升级将出现差错要使用 RPM 升级驻留在 /opt/splunk 中的现有 Splunk Enterprise 安装 : rpm -U splunk_package_name.rpm 注意 : 升级 rpms 即升级 rpm 软件包, 而非 Splunk Enterprise 只能在过去使用 rpm 时才能进行 rpm 升级从 tar 安装到 rpm 安装没有平滑过渡这并非 Splunk Enterprise 问题, 而是基本打包问题要升级在其他目录的现有 Splunk Enterprise, 使用 --prefix 标记 : rpm -U --prefix=/opt/existing_directory splunk_package_name.rpm 注意 : 如果未为现有目录使用 --prefix 进行指定, 则 rpm 将安装在 /opt/splunk 的默认位置例如, 要升级到 $SPLUNK_HOME=/opt/apps/splunk 的现有目录, 输入以下 : rpm -U --prefix=/opt/apps splunk_package_name.rpm 为更换现有 Splunk Enterprise 安装 rpm -i --replacepkgs --prefix=/splunkdirectory/ splunk_package_name.rpm 如果希望使用 kickstart 自动化 RPM 安装, 添加以下到您的 kickstart 文件 :./splunk start --accept-license./splunk enable boot-start 27

注意 :kickstart 文件的第二行可选开机时, 启用 Splunk Enterprise 以启动系统, 方法是将其添加到 /etc/init.d/ 并以 root 或 sudo 命令运行, 然后指定 Splunk Enterprise 运行的用户./splunk enable boot-start -user splunkuser Debian DEB 安装要安装 Splunk DEB 软件包 : dpkg -i splunk_package_name.deb 注意 : 只能将 Splunk DEB 软件包安装到默认位置, 即 /opt/splunk 安装项目 Splunk 软件包状态 : dpkg --status splunk 列出所有软件包 : dpkg --list 默认 Shell Splunk Enterprise 假定您正在使用 Bash Shell 使用 Dash Shell 会导致僵尸进程启动 Splunk Splunk Enterprise 可以以任何本地系统用户身份运行如果以非 root 用户的身份运行, 请确保它拥有适当权限读取您指定的输入请参阅以非 root 用户的身份运行 Splunk Enterprise 的说明要从命令行界面启动 Splunk Enterprise, 从 $SPLUNK_HOME/bin( 其中 $SPLUNK_HOME 是您安装 Splunk Enterprise 的目录 ) 目录运行以下命令 :./splunk start 按照约定, 本文档使用 : 启动选项 $SPLUNK_HOME 确定您的 Splunk Enterprise 安装路径 $SPLUNK_HOME/bin/ 表示命令行界面位置在新安装后首次启动 Splunk Enterprise 时, 您必须接受许可协议要启动 Splunk Enterprise, 在以下步骤接受许可证 : $SPLUNK_HOME/bin/splunk start --accept-license 注意 :accept-license 选项之前有两个破折号启动 Splunk Web 并登录启动 Splunk Enterprise 并接受许可协议后, 您可以启动 Splunk Web 1. 在浏览器窗口中, 以 http://<hostname>:port 访问 Splunk Web hostname 是主机 port 是您在安装期间指定的端口 ( 默认端口是 8000) 注意导航到您首次访问 Splunk Enterprise 的 HTTP 2. 启动之前,Splunk Web 将提示您输入登录信息默认是用户名 admin 和密码 changeme 如果切换到 Splunk Free, 则在未来会话中绕过本登录页面 28

后续内容是什么? 安装好 Splunk Enterprise 后, 后续内容是什么? 卸载 Splunk Enterprise 有关如何卸载 Splunk Enterprise 的信息, 请阅读本手册中的卸载 Splunk Enterprise 在 Solaris 上安装您可以使用 PKG 软件包或 tar 文件在 Solaris 上安装 Splunk Enterprise 升级? 如果正在升级, 请在继续之前查看如何升级 Splunk 以了解说明和迁移注意事项安装 Splunk Splunk Enterprise for Solaris 可作为 PKG 文件或 tar 文件 PKG 文件安装 PKG 安装软件包包含要求您在 Splunk 安装之前回答一些问题的请求文件 pkgadd -d./splunk_product_name.pkg 显示了可用软件包列表选择您希望处理的软件包 ( 默认是 "all") 然后, 安装程序将提示您指定基本安装目录要安装到默认目录 /opt/splunk, 保留为空白 PKG 文件升级要使用 PKG 文件升级现有 Splunk Enterprise 安装, 您应使用 instance 参数, 无论是系统的默认软件包安装配置文件 (/var/sadm/install/admin/default) 还是您定义和调用的自定义配置文件在默认或自定义配置文件中, 设置 instance=overwrite 这可防止升级创建第二个 splunk 软件包 ( 使用 instance=unique) 或失败 ( 使用 instance=quit) 有关 instance 参数的信息, 请参阅 Solaris 主页 (man -s4 admin) 要使用系统的默认软件包安装文件升级 Splunk Enterprise, 使用与全新安装相同的命令行 pkgadd -d./splunk_product_name.pkg 安装程序将提示您覆盖任何更改的文件, 对每个提示回答是要使用自定义配置文件升级, 键入 : pkgadd -a conf_file -d./splunk_product_name.pkg 要静默运行升级 ( 同时不为每个文件覆盖回答是 ), 键入 : pkgadd -n -d./splunk_product_name.pkg tar 文件安装要在 Solaris 系统上安装 Splunk Enterprise, 使用 tar 命令展开 tar 文件到适当目录 : tar xvzf splunk_package_name.tar.z 默认安装目录是当前工作目录中的 splunk 要安装到 /opt/splunk, 使用以下命令 : tar xvzf splunk_package_name.tar.z -C /opt 注意 : 使用 tar 文件安装 Splunk Enterprise 时 : 29

tar 的一些非 GNU 版本可能没有 -C 参数在这种情况下, 如果希望安装到 /opt/splunk( 无论是 cd 至 /opt), 或在运行 tar 命令之前, 将压缩包放入 /opt 这种方法适用于您的计算机文件系统上的任何可访问目录如果 gzip 二进制文件不在您的系统上, 则可使用 uncompress 命令 Splunk Enterprise 不会自动创建 splunk 用户如果希望以特定用户身份运行, 您必须在安装之前手动创建用户确保磁盘分区拥有足够空间可容纳您计划保留索引的未压缩数据量安装项目 Splunk 软件包信息 : pkginfo -l splunk 列出所有软件包 : pkginfo 启动 Splunk Splunk Enterprise 可以以任何本地系统用户身份运行如果以非 root 用户的身份运行, 请确保拥有适当权限读取您指定的输入有关更多信息, 请参阅以非 root 用户的身份运行 Splunk 的说明要从命令行界面启动 Splunk Enterprise, 从 $SPLUNK_HOME/bin( 其中 $SPLUNK_HOME 是您安装 Splunk 的目录 ) 目录运行以下命令 :./splunk start 按照约定, 使用 Splunk 文档 : 启动选项 $SPLUNK_HOME 确定您的 Splunk 安装路径 $SPLUNK_HOME/bin/ 表示命令行界面位置在新安装后首次启动 Splunk Enterprise 时, 您必须接受许可协议要启动 Splunk Enterprise, 在以下步骤接受许可证 : $SPLUNK_HOME/bin/splunk start --accept-license 注意 :accept-license 选项之前有两个破折号启动 Splunk Web 并登录启动 Splunk Enterprise 并接受许可协议后, 1. 在浏览器窗口中, 以 http://mysplunkhost:port 访问 Splunk Web, 其中 : mysplunkhost 是主机 port 是您在安装期间指定的端口 (8000) 2. 启动之前,Splunk Web 将提示您输入登录信息 ( 默认, 用户名 admin 和密码 changeme) 如果切换到 Splunk Free, 则将在未来会话中绕过本登录页面后续内容是什么? 安装好 Splunk Enterprise 后, 后续内容是什么? 卸载 Splunk Enterprise 有关如何卸载 Splunk Enterprise 的信息, 请阅读本手册中的卸载 Splunk Enterprise 在 Mac OS X 上安装您可以使用 DMG 软件包或 tar 文件在 Mac OS X 上安装 Splunk Enterprise 升级? 如果正在升级, 请在继续之前查看如何升级 Splunk Enterprise 以了解说明和迁移注意事项 30

安装选项 Mac OS 版本有两种格式 :DMG 软件包和 tar 文件以下是说明 : 使用 DMG 文件的图形 ( 基本 ) 和命令行安装 tar 文件安装注意 : 如果需要在同一主机的不同位置进行两次安装, 则使用 tar 文件 pkg 安装程序无法安装第二个实例如果存在一个实例, 将在成功安装第二个实例后删除第一个图形安装 1. 双击 DMG 文件将打开包含 splunk.pkg 的查找器窗口 2. 在查找器窗口中, 双击 splunk.pkg 将打开 Splunk Enterprise 安装程序, 并显示简介, 其中列出了版本和版权信息 3. 单击继续将打开选择目标窗口 4. 选择 Splunk Enterprise 的安装位置要在默认目录 /Applications/splunk 中安装, 单击硬盘驱动器图标要选择其他位置, 单击选择文件夹... 5. 单击继续预安装摘要会显示如需更改, 单击更改安装位置以选择一个新文件夹, 或者单击返回以返回上一个步骤 6. 单击安装安装随即开始这可能需要几分钟的时间 7. 您的安装完成时, 单击结束安装程序会在桌面上放置一个快捷方式命令行安装按照以下说明从终端窗口安装重要提示 : 为从命令行在 Mac OS X 上安装 Splunk Enterprise, 您必须使用 root 用户, 或使用 sudo 命令升级权限如果您使用 sudo, 您的帐户必须是管理级帐户 1. To mount the dmg: sudo hdid splunk_package_name.dmg 查找器将磁盘映像安装在桌面可使用 /Volumes/SplunkForwarder < 版本 > 下的映像 ( 注意可用空间 ) 2. 要安装至 root 卷 : cd /Volumes/SplunkForwarder\ <version> sudo installer -pkg.payload/splunk.pkg -target / 注意 : 磁盘映像的名称中有一个空格使用反斜杠转义空格或使用引号使磁盘映像名称换行至其他磁盘分区 : cd /Volumes/SplunkForwarder\ <version> sudo installer -pkg.payload/splunk.pkg -target /Volumes\ Disk 注意 : 磁盘映像的名称中有一个空格使用反斜杠转义空格或使用引号使磁盘映像名称换行 -target 将指定目标卷, 如另一个磁盘, 其中 Splunk 将安装到 /Applications/splunk 要安装到任何卷的 /Applications/splunk 之外的目录, 使用如上所述的图形安装程序 31

tar 文件安装要在 Mac OS X 系统上安装 Splunk Enterprise, 使用 tar 命令展开 tar 文件到适当目录 : tar xvzf splunk_package_name.tgz 默认安装目录是当前工作目录中的 splunk 要安装到 /Applications/splunk, 使用以下命令 : tar xvzf splunk_package_name.tgz -C /Applications 注意 : 使用 tar 文件安装 Splunk Enterprise 时 : Splunk Enterprise 不会自动创建 splunk 用户如果希望以特定用户身份运行, 您必须在安装之前手动创建用户确保磁盘分区拥有足够空间可容纳您计划保留索引的未压缩数据量启动 Splunk Splunk Enterprise 可以以任何本地系统用户身份运行如果以非 root 用户的身份运行, 请确保它拥有适当权限读取您指定的输入从查找器启动 Splunk Enterprise 要从查找器启动 Splunk Enterprise, 双击桌面上的 Splunk 图标启动名为 "Splunk's Little Helper" 的帮助应用程序注意 : 第一次运行帮助应用程序时, 它会通知您需要执行一个简单的初始化单击确定, 允许 Splunk Enterprise 初始化并设置 Trial 许可证帮助应用程序加载后, 会显示一个提供多个选项的对话框 : 启动并显示 Splunk: 该选项会启动 Splunk Enterprise 并在您的 Web 浏览器中打开 Splunk Web 页面仅启动 Splunk: 该选项会启动 Splunk Enterprise, 但不会在浏览器中打开 Splunk Web 取消 : 告知帮助应用程序退出这不会影响 Splunk Enterprise 实例本身, 只会影响帮助应用程序做出选择后,Splunk 帮助应用程序会执行请求的应用程序并终止您可以再次运行帮助应用程序来显示 Splunk Web 或停止 Splunk 还可以使用帮助应用程序来停止 Splunk( 如果已在运行 ) 从命令行启动 Splunk Enterprise 要从命令行界面启动 Splunk Enterprise, 从 $SPLUNK_HOME/bin( 其中 $SPLUNK_HOME 是您安装 Splunk Enterprise 的目录 ) 目录运行以下命令 :./splunk start 按照约定, 本文档使用 : 启动选项 $SPLUNK_HOME 确定您的 Splunk 安装路径 $SPLUNK_HOME/bin/ 表示命令行界面位置在新安装后首次启动 Splunk Enterprise 时, 您必须接受许可协议要启动 Splunk Enterprise, 在以下步骤接受许可证 : $SPLUNK_HOME/bin/splunk start --accept-license 注意 :accept-license 选项之前有两个破折号启动 Splunk Web 并登录启动 Splunk Enterprise 并接受许可协议后, 1. 在浏览器窗口中, 以访问 Splunk Web http://<hostname>:port hostname 是主机 port 是您在安装期间指定的端口 ( 默认端口是 8000) 2. 启动之前,Splunk Web 将提示您输入登录信息 ( 默认, 用户名 admin 和密码 changeme) 如果切换到 Splunk Free, 则将在未来会话中绕过本登录页面 32

后续内容是什么? 安装好 Splunk Enterprise 后, 后续内容是什么? 卸载 Splunk Enterprise 有关如何卸载 Splunk Enterprise 的信息, 请阅读本手册中的卸载 Splunk Enterprise 在 FreeBSD 上安装 FreeBSD 的 Splunk Enterprise 有两种形式 : 安装程序 (5.4-intel) 和 tar 文件 (i386) 这两个都是 gzip 压缩的 tar (.tgz) 文件升级? 如果正在升级, 请在继续之前查看如何升级 Splunk Enterprise 以了解说明和迁移注意事项前提条件对于 FreeBSD 8,Splunk Enterprise 需要兼容性软件包要安装兼容性软件包 : 1. 安装端口 : portsnap fetch update cd /usr/ports/misc/compat7x/ && make install clean 2. 添加软件包 : pkg_add -r compat7x-amd64 基本安装要使用 intel 安装程序安装 FreeBSD 的 Splunk Enterprise: pkg_add splunk_package_name-6.1-intel.tgz 重要提示 : 这将在默认目录 /opt/splunk 安装 Splunk Enterprise 如果 /opt 不存在, 您需要在运行安装命令之前进行创建如果未创建, 则可能收到错误消息 Splunk 建议您创建至另一个文件系统的符号链接, 并在该处安装 Splunk, 因为 FreeBSD 的最佳实践保留小型 root ("/") 文件系统要在其他目录中安装 Splunk Enterprise: pkg_add -v -p /usr/splunk splunk_package_name-6.1-intel.tgz FreeBSD 软件包系统没有本地升级支持这里有一些加载项实用工具会尝试管理它, 但未经过测试要在 FreeBSD 上升级软件包, 您可以卸载之前的软件包并安装新软件包, 或可以使用 tar 文件如下安装以升级现有安装 tar 文件安装要在 FreeBSD 系统上安装 Splunk Enterprise, 使用 tar 命令展开文件到适当目录 : tar xvzf splunk_package_name.tgz 默认安装目录是当前工作目录中的 splunk 要安装到 /opt/splunk, 使用以下命令 : tar xvzf splunk_package_name.tgz -C /opt 注意 : 使用 tar 文件安装 Splunk Enterprise 时 : 安装后 tar 的一些非 GNU 版本可能没有 -C 参数在这种情况下, 如果希望安装到 /opt/splunk( 无论是 cd 至 /opt), 或在运行 tar 命令之前, 将压缩包放入 /opt 这种方法适用于您的计算机文件系统上的任何可访问目录 Splunk Enterprise 不会自动创建 splunk 用户如果希望 Splunk Enterprise 以特定用户身份运行, 您必须在安装之前手动创建用户确保磁盘分区拥有足够空间可容纳您计划保留索引的未压缩数据量要确保 Splunk Enterprise 在 FreeBSD 上正常运行, 您必须 : 33

1. 将以下添加到 /boot/loader.conf kern.maxdsiz="2147483648" # 2GB kern.dfldsiz="2147483648" # 2GB machdep.hlt_cpus=0 2. 将以下添加到 /etc/sysctl.conf 中 : vm.max_proc_mmap=2147483647 必须重新启动 FreeBSD, 更改才能生效如果服务器内存不足 2 GB, 则相应减少值安装项目要查看 Splunk Enterprise 软件包列表 : pkg_info -L splunk 要列出所有软件包 : pkg_info 启动 Splunk Enterprise Splunk Enterprise 可以以任何本地系统用户身份运行如果以非 root 用户的身份运行, 请确保它拥有适当权限读取您指定的输入要从命令行界面启动 Splunk Enterprise, 从 $SPLUNK_HOME/bin( 其中 $SPLUNK_HOME 是您安装 Splunk Enterprise 的目录 ) 目录运行以下命令 :./splunk start 按照约定, 本文档使用 : 启动选项 $SPLUNK_HOME 确定您的 Splunk Enterprise 安装路径 $SPLUNK_HOME/bin/ 表示命令行界面位置在新安装后首次启动 Splunk Enterprise 时, 您必须接受许可协议要启动 Splunk Enterprise, 在以下步骤接受许可证 : $SPLUNK_HOME/bin/splunk start --accept-license 注意 :accept-license 选项之前有两个破折号启动 Splunk Web 并登录启动 Splunk Enterprise 并接受许可协议后, 1. 在浏览器窗口中, 以访问 Splunk Web http://<hostname>:port hostname 是主机 port 是您在安装期间指定的端口 ( 默认端口是 8000) 2. 启动之前,Splunk Web 将提示您输入登录信息 ( 默认, 用户名 admin 和密码 changeme) 如果切换到 Splunk Free, 则将在未来会话中绕过本登录页面后续内容是什么? 安装好 Splunk Enterprise 后, 后续内容是什么? 卸载 Splunk Enterprise 有关如何卸载 Splunk Enterprise 的信息, 请阅读本手册中的卸载 Splunk Enterprise 34

在 AIX 上安装您可以使用 tar 文件在 AIX 上安装 Splunk Enterprise 重要提示 :Splunk 以其身份运行的用户必须拥有读取 /dev/random 和 /dev/urandom 的权限, 否则安装将失败升级? 如果正在升级, 请在继续之前查看如何升级 Splunk Enterprise 以了解说明和迁移注意事项安装 Splunk Enterprise AIX 安装使用 tar 文件形式使用 tar 文件安装时 : Splunk Enterprise 不会自动创建 splunk 用户如果希望 Splunk Enterprise 以特定用户身份运行, 您必须手动创建用户确保磁盘分区拥有足够空间容纳您计划索引的未压缩数据量我们建议您使用 GNU tar 解压缩 tar 文件, 因为 AIX tar 无法解压缩长文件名, 无法覆盖文件并存在其他问题如果必须使用系统 tar, 请务必检查输出以查看错误消息要在 AIX 系统上安装 Splunk Enterprise, 展开 tar 文件到适当目录默认安装目录是 /opt/splunk 对于 AIX 5.3, 检查以确保您的服务包为最新 Splunk Enterprise 需要以下服务级别 : $ oslevel -r 5300-005 启动 Splunk Enterprise Splunk Enterprise 可以以任何本地系统用户身份运行如果以非 root 用户的身份运行, 请确保它拥有适当权限读取您指定的输入有关更多信息, 请参阅以非 root 用户的身份运行 Splunk Enterprise 的说明要从命令行界面启动 Splunk Enterprise, 从 $SPLUNK_HOME/bin( 其中 $SPLUNK_HOME 是您安装 Splunk 的目录 ) 目录运行以下命令 :./splunk start 按照约定, 本文档使用 : $SPLUNK_HOME 确定您的 Splunk 安装路径 $SPLUNK_HOME/bin/ 表示命令行界面位置启用 Splunk Enterprise 开机时自动启动 AIX 版本的 Splunk 不会自行注册并在重新启动后自动启动但是, 您可以通过运行提示符 $SPLUNK_HOME/bin 目录中下述命令实现 :./splunk enable boot-start 为了在系统资源控制器 (SRC) 中注册 Splunk Enterprise 和 Splunk Web, 该命令调用以下系统命令 : mkssys -G splunk -s splunkd -p <path to splunkd> -u <splunk user> -a _internal_exec_splunkd -S -n 2 -f 9 mkssys -G splunk -s splunkweb -p <path to python> -u <splunk user> -a _internal_exec_splunkweb -S -n 15 -f 9 当您启用开机自动启动,SRC 会处理 Splunk Enterprise 服务的运行状态这意味着您必须使用不同的命令来手动启动和停止 Splunk Enterprise: /usr/bin/startsrc -s splunkd 要启动 Splunk Enterprise /usr/bin/stopsrc -s splunkd 要停止 Splunk Enterprise 如果您尝试使用./splunk [start stop] 方法从 $SPLUNK_HOME 目录启动和停止 Splunk Enterprise,SRC 会捕获此次尝试, 而且 Splunk Enterprise 会显示以下消息 : Splunk boot-start is enabled. Please use /usr/bin/[startsrc stopsrc] -s splunkd to [start stop] Splunk. 要防止出现这种消息, 并恢复从 $SPLUNK_HOME 目录启动和停止 Splunk Enterprise 的能力, 禁用开机启动 :./splunk disable boot-start 有关 mkssys 命令行参数的更多信息, 请参阅 IBM pseries 和 AIX 信息中心网站上的 Mkssys 命令 (http://publib.boulder.ibm.com/infocenter/pseries/v5r3/index.jsp? 35

启动选项 topic=/com.ibm.aix.cmds/doc/aixcmds3/mkssys.htm) 有关 SRC 的更多信息, 请参阅 IBM 知识中心网站上的系统资源控制器 (https://www- 01.ibm.com/support/knowledgecenter/#!/ssw_aix_71/com.ibm.aix.genprogc/src.htm) 在新安装后首次启动 Splunk Enterprise 时, 您必须接受许可协议要启动 Splunk Enterprise, 在以下步骤接受许可证 : $SPLUNK_HOME/bin/splunk start --accept-license 注意 :accept-license 选项之前有两个破折号有关更多信息, 请参阅本手册中的 Splunk Enterprise 启动选项启动 Splunk Web 并登录启动 Splunk Enterprise 并接受许可协议后, 1. 在浏览器窗口中, 以访问 Splunk Web http://<hostname>:port hostname 是主机 port 是您在安装期间指定的端口 ( 默认端口是 8000) 2. 启动之前,Splunk Web 将提示您输入登录信息 ( 默认, 用户名 admin 和密码 changeme) 如果切换到 Splunk Free, 则将在未来会话中绕过本登录页面后续内容是什么? 安装好 Splunk Enterprise 后, 后续内容是什么? 卸载 Splunk Enterprise 有关如何卸载 Splunk Enterprise 的信息, 请阅读本手册中的卸载 Splunk Enterprise 在 HP-UX 上安装您可以使用 tar 文件在 HP/UX 上安装 Splunk Enterprise 要在 HP/UX 系统上安装 Splunk Enterprise, 使用 GNU tar 展开 tar 文件到适当目录默认安装目录是 /opt/splunk 注意 :HP-UX 上的系统默认 tar 无法成功提取 splunk Enterprise tar 文件使用 GNU tar 或在另一个平台上解压缩 tar 使用 tar 文件安装时 : 升级? Splunk Enterprise 不会自动创建 splunk 用户如果希望 Splunk Enterprise 以特定用户身份运行, 您必须手动创建用户确保磁盘分区拥有足够空间容纳您计划索引的未压缩数据量如果正在升级, 请在继续之前查看如何升级 Splunk Enterprise 以了解说明和迁移注意事项启动 Splunk Enterprise Splunk Enterprise 可以以任何本地系统用户身份运行如果以非 root 用户的身份运行, 请确保它拥有适当权限读取您指定的输入要从命令行界面启动 Splunk Enterprise, 从 $SPLUNK_HOME/bin( 其中 $SPLUNK_HOME 是您安装 Splunk Enterprise 的目录 ) 目录运行以下命令 :./splunk start 按照约定, 本文档使用 : $SPLUNK_HOME 确定您的 Splunk Enterprise 安装路径 $SPLUNK_HOME/bin/ 表示命令行界面位置注意 :HP/UX 版本的 Splunk Enterprise 不会自行注册并在重新启动后自动启动但是, 您可以通过运行 shell 提示符 $SPLUNK_HOME/bin 目录中下述命令进行注册 : 36

./splunk enable boot-start 启动选项在新安装后首次启动 Splunk Enterprise 时, 您必须接受许可协议要启动 Splunk Enterprise, 在以下步骤接受许可证 : $SPLUNK_HOME/bin/splunk start --accept-license 注意 :accept-license 选项之前有两个破折号启动 Splunk Web 并登录启动 Splunk Enterprise 并接受许可协议后, 1. 在浏览器窗口中, 以访问 Splunk Web http://<hostname>:port hostname 是主机 port 是您在安装期间指定的端口 ( 默认端口是 8000) 2. 启动之前,Splunk Web 将提示您输入登录信息 ( 默认, 用户名 admin 和密码 changeme) 如果切换到 Splunk Free, 则将在未来会话中绕过本登录页面后续内容是什么? 安装好 Splunk Enterprise 后, 后续内容是什么? 卸载 Splunk Enterprise 有关如何卸载 Splunk Enterprise 的信息, 请阅读本手册中的卸载 Splunk Enterprise 以其他或非 root 用户身份运行 Splunk Enterprise 重要提示 : 本主题仅用于非 Windows 操作系统有关使用用户身份在 Windows 上安装 Splunk Enterprise 的信息, 请阅读本手册中的选择 Splunk Enterprise 应以其身份运行的 Windows 用户您可以以本地系统上的任何用户身份运行 Splunk Enterprise 如果以非 root 用户身份运行它, 确保它拥有适当权限以 : 读取配置为要监测的文件和目录一些日志文件和目录可能需要 root 或超级用户访问权限才能索引写入 Splunk Enterprise 目录并执行任何配置为用于告警或脚本式输入的脚本绑定它正侦听的网络端口小于 1024 的网络端口是仅 root 用户可以绑定的预留端口注意 : 由于小于 1024 的端口仅预留用于 root 访问, 因此如果以 root 用户身份运行,Splunk 仅能侦听端口 514(syslog 的默认侦听端口 ) 但是, 您可以安装另一个实用工具 ( 如 syslog-ng) 以写入 syslog 数据到文件, 并让 Splunk 监视该文件说明要以非 root 用户身份运行 Splunk Enterprise, 您需要首先以 root 身份安装 Splunk Enterprise 然后, 在首次启动 Splunk Enterprise 之前, 更改 $SPLUNK_HOME 目录的所有权为所需用户以下是安装 Splunk Enterprise 并以非 root 用户身份运行的说明 splunk 注意 : 在以下示例中,$SPLUNK_HOME 代表至 Splunk Enterprise 安装目录的路径 1. 作为 root 用户, 创建用户和组 splunk 对于 Linux Solaris 和 FreeBSD: useradd splunk groupadd splunk 对于 Mac OS: 您可以使用系统首选项 > 帐户面板添加用户和组 2. 以 root 用户身份并使用软件包之一 ( 不是 tar 文件 ) 运行安装重要提示 : 仍不要启动 Splunk Enterprise 3. 作为 root 用户, 调用 chown 命令更改 splunk 目录和其中的所有内容的所有权为所需用户 37

chown -R splunk:splunk $SPLUNK_HOME 注意 : 如果您系统的 chown 二进制文件不支持更改文件的组所有权, 则可使用 chgrp 命令进行更改有关其他信息, 请参阅系统主页 4. 要变成非 root 用户, 或者通过注销 root 帐户并作为非 root 用户登录, 或者通过使用 su 命令来变成非 root 用户 5. 作为非 root 用户, 启动 Splunk Enterprise $SPLUNK_HOME/bin/splunk start 同时, 如果希望在以其他用户身份登录时使用 splunk 用户身份启动 Splunk Enterprise, 则可以使用 sudo 命令 : sudo -H -u splunk $SPLUNK_HOME/bin/splunk start 本示例命令假定 : 如果在替代位置安装 Splunk Enterprise, 则相应更新命令中的路径您的系统可能还未安装 sudo 如果出现这种情况, 则可使用 su 如果正在使用 tar 文件安装, 并希望 Splunk Enterprise 以某个用户身份运行 ( 如 splunk), 则必须手动创建该用户 splunk 用户必须访问 /dev/urandom 为产品生成证书 Solaris 10 权限当以 splunk 用户身份在 Solaris 10 上安装 Splunk Enterprise 时, 您必须设置其他权限以启动 splunkd, 并绑定到预留端口要在 Solaris 10 上以 splunk 用户身份启动 splunkd, 运行 : # usermod -K defaultpriv=basic,net_privaddr,proc_exec,proc_fork splunk 要允许 splunk 用户绑定到 Solaris 10 上的预留端口, 运行 ( 作为 root): # usermod -K defaultpriv=basic,net_privaddr splunk 使用 Splunk Enterprise 启动首次启动 Splunk Enterprise 重要安全提示开始使用新的 Splunk Enterprise 升级或安装之前, 您应花些时间确保 Splunk 和您的数据是安全的有关更多信息, 请阅读确保 Splunk Enterprise 安全手册中的强化标准要启动 Splunk Enterprise: 在 Windows 上您可以使用命令行或 Windows 服务管理器, 在 Windows 上启动 Splunk Enterprise 使用命令行提供更多选项, 这将在本部分稍后介绍在 cmd 窗口中, 转到 C:\Program Files\Splunk\bin 并键入 : splunk start ( 对于 Windows 用户 : 在稍后示例和信息中, 如果已在默认位置安装了 Splunk, 使用 C:\Program Files\Splunk 替换 $SPLUNK_HOME 您还可以使用系统属性对话框的高级选项卡, 将 %SPLUNK_HOME% 作为整个系统环境的变量进行添加 ) 在 UNIX 上使用 Splunk Enterprise 命令行界面 (CLI): $SPLUNK_HOME/bin/splunk start 然后,Splunk Enterprise 会显示许可协议, 并提示您先接受许可证再继续启动序列 38

在 Mac OS X 上 Splunk Enterprise 可以以任何本地系统用户身份运行如果以非 root 用户的身份运行 Splunk Enterprise, 请确保 Splunk 拥有适当权限读取您指定的输入从查找器启动 Splunk Enterprise 要从查找器启动 Splunk Enterprise, 双击桌面上的 Splunk 图标启动名为 "Splunk's Little Helper" 的帮助应用程序注意 : 第一次运行帮助应用程序时, 它会通知您需要执行一个简单的初始化单击确定, 允许 Splunk 初始化并设置 Trial 许可证帮助应用程序加载后, 会显示一个提供多个选项的对话框 : 启动并显示 Splunk: 该选项会启动 Splunk 并在您的 Web 浏览器中打开 Splunk Web 页面仅启动 Splunk: 该选项会启动 Splunk, 但不会在浏览器中打开 Splunk Web 取消 : 告知帮助应用程序退出这不会影响 Splunk Enterprise 实例本身, 只会影响帮助应用程序做出选择后, 帮助应用程序会执行请求的应用程序并终止您可以再次运行帮助应用程序来显示 Splunk Web 或停止 Splunk Enterprise 还可以使用帮助应用程序来停止 SplunkSplunk Enterprise( 如果已在运行 ) 从命令行启动 Splunk Enterprise 要从命令行界面启动 Splunk Enterprise, 从 $SPLUNK_HOME/bin( 其中 $SPLUNK_HOME 是您安装 Splunk 的目录, 默认 /Applications/splunk) 目录运行以下命令 :./splunk start 其他启动选项要在首次启动 Splunk Enterprise 时自动接受许可证, 添加 accept-license 选项到 start 命令 : $SPLUNK_HOME/bin/splunk start --accept-license 将显示启动序列 : Splunk> All batbelt. No tights. Checking prerequisites... Checking http port [8000]: open Checking mgmt port [8089]: open Checking appserver port [127.0.0.1:8065]: open Checking kvstore port [8191]: open Checking configuration... Done. Checking critical directories... Done Checking indexes... Validated: _audit _blocksignature _internal _introspection _thefishbucket history main msad msexchange perfmon sf_food_health sos sos_summary_daily summary windows wineventlog winevents Done Checking filesystem compatibility... Done Checking conf files for problems... Done All preliminary checks passed. Starting splunk server daemon (splunkd)... Done [ OK ] Waiting for web server at http://127.0.0.1:8000 to be available... Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://localhost:8000 注意 : 如果默认端口已被使用 ( 或者不可用 ), 则提示 Splunk Enterprise 使用下一个可用端口您可以接受该选项或指定一个要使用的端口 39

共有两个其他 start 选项 :no-prompt 和 answer-yes: 如果您运行 $SPLUNK_HOME/bin/splunk start --no-prompt,splunk Enterprise 将继续启动, 直到要求您回答问题然后, 它将显示问题, 退出原因并退出如果您运行 SPLUNK_HOME/bin/splunk start --answer-yes,splunk Enterprise 将继续启动并对所有是 / 否问题自动回答是显示问题并在回答后继续如果您在一行启动所有三个选项, 例如 : $SPLUNK_HOME/bin/splunk start --answer-yes --no-prompt --accept-license Splunk 不会要求您接受许可证 Splunk 将对所有是 / 否问题回答是 Splunk 会在遇到非是 / 否问题时退出更改 Splunk Enterprise 启动的位置和方式要了解如何更改控制 Splunk Enterprise 启动和运行方式的系统环境变量, 请参阅管理员手册中的设置或更改环境变量启动 Splunk Web 导航到 : http://mysplunkhost:8000 使用您在安装期间选择的主机和端口当您首次登录到 Splunk Enterprise 时, 默认的登录信息为 : 用户名 - admin 密码 - changeme Splunk Free 没有访问权限控制接下来呢? 在一台服务器上安装了 Splunk Enterprise 后, 这里是一些您可以开始的链接 : 了解 Splunk Enterprise 是什么, 它的功能和它有何不同了解如何添加数据到 Splunk Enterprise 添加和管理用户评估您需要多少空间以存储您的数据计划您的 Splunk Enterprise 部署, 从每天数 GB 到数 TB 了解如何搜索监视报告等等 Splunk Enterprise 与传统技术的最大差别之一是, 它可在搜索时分类和解释数据了解其含义以及如何使用它如果下载附带应用的 Splunk Enterprise( 例如,Splunk + WebSphere), 转到 Splunk Web 并在启动器中选择一个应用以直接转到应用的设置页面有关附带应用的设置和安装部署的更多信息, 请在 Splunkbase 上搜索应用名称了解有关 Splunk Enterprise 的可访问性 Splunk 专注于保持并增强辅助技术 (AT) 用户的可访问性和可用性, 无论是 1973 年美国康复法第 508 节还是最佳可用性做法本主题介绍了 Splunk 如何在产品为 AT 用户提供可访问性 Splunk Web 和 CLI 的可访问性 Splunk Enterprise 命令行界面 (CLI) 可完全访问, 并包含 Splunk Web 的功能超集 CLI 旨在让所有用户都可使用, 无论可访问性需求, 因此 Splunk 建议 AT 用户使用 CLI( 专门用于低视力或盲人, 或存在行动障碍的用户 ) Splunk 还知道使用 GUI 偶尔会是首选, 即使对于盲人用户由此,Splunk Web 提供以下可访问性功能 : 表单字段和对话框具有焦点屏幕显示, 如同 Web 浏览器支持的方式没有浏览器实现视觉焦点的链接按钮或其他元素无法实现其他屏幕焦点一致适当地标记表单字段, 同时 ALT 文本介绍了功能性元素和图像 Splunk Web 不会覆盖用户定义的样式表 Splunk Web 的数据可视化通过鼠标悬停提供基本数据, 或作为数据表格输出, 以便使用颜色传递的信息不需颜色即可传递必要时, 使用 HTML 实现的大部分数据表格使用标头和标记确定数据以 Flash 显示的数据表格将以视觉化方式显示标头使用逗号分隔值 (CSV) 格式的基本数据输出具有适当的标头以确定数据 40

可访问性和实时搜索 Splunk Web 不包含任何闪光或闪烁的组件但是, 使用实时搜索会导致页面更新可轻松禁用实时搜索, 无论在部署还是用户 / 角色级别为获得最大便利和可用性,Splunk 建议 AT 用户使用禁用实时功能的 CLI( 尤其是屏幕阅读器 ) 有关禁用实时搜索的详细信息, 请参阅搜索手册中的如何限制实时搜索的使用情况使用 Firefox 和 Mac OS X 进行键盘导航要启用 Mac OS X 上的 Firefox 的 Tab 键导航, 使用系统首选项而不是浏览器首选项要启用键盘导航 : 1. 在菜单栏中, 单击 [Apple icon]> 系统首选项 > 键盘打开键盘首选项对话框 2. 在键盘首选项对话框中, 单击顶部的键盘快捷方式按钮 3. 在对话框底部附近, 其中显示完整键盘访问, 单击所有控制单选按钮 4. 关闭键盘首选项对话框 5. 如果已经运行 Firefox, 退出并重新启动浏览器安装 Splunk Enterprise 许可证关于 Splunk Enterprise 许可证 Splunk Enterprise 从您指定的来源获取数据并加以处理, 以便您进行分析我们将此过程称为建立索引有关建立索引过程的信息, 请参阅数据导入手册中的 Splunk Enterprise 如何处理您的数据 Splunk Enterprise 许可证指定您每天可以索引的数据量有关 Splunk 许可证的更多信息, 请从阅读以下开始 : 管理员手册中的 Splunk 许可授权如何工作管理员手册中的 Splunk Enterprise 许可证类型管理员手册中的有关 Splunk Free 的更多信息安装许可证本主题介绍如何在 Splunk Enterprise 中安装一个新的证书在您继续之前, 您可能需要阅读这些有关许可证的主题 : 阅读管理员手册中的 Splunk 许可授权如何工作以获得有关 Splunk 许可授权的简介阅读管理员手册中的组堆叠池和其他术语以获得有关 Splunk 许可证术语的详细信息添加新许可证要添加新许可证 : 1. 导航到设置 > 许可证 2. 单击添加许可证 3. 单击选择文件并导航到您的许可证文件, 然后选择该文件, 或者单击直接复制 & 并粘贴许可证 XML... 并将许可证文件的文本粘贴到所提供的字段中 4. 单击安装 Splunk 安装您的许可证如果这是您安装的第一份 Enterprise 许可证, 则必须重新启动 Splunk 许可证违规当您超过您的许可证所允许的最大索引量时, 将发生许可证违规问题如果您在任意一个日历日超过您的日许可量, 41

您将收到违规警告该消息将持续 14 天如果您在过去的 30 天内,Enterprise 许可证收到 5 次或更多警告,Free 许可证收到 3 次警告, 您的许可证即出现违规问题, 则对违规的 Splunk 禁用搜索如果您在先前的 30 天内收到的警告次数小于 5 次 (Enterprise) 或 3 次 (Free), 或者如果您应用临时重置许可证 ( 仅可用于 Enterprise), 则恢复搜索功能要获得重置许可证, 请与您的销售代表联系注意 : 摘要索引量不计入您的许可证如果您收到违规警告, 直到午夜前 ( 按许可证主服务器上的时间计算 ), 您都可解决此问题, 否则警告将计入过去 30 天内的警告总数中在许可证违规期间 : Splunk 不停止对数据建立索引 Splunk 仅在超过许可量时阻止搜索 Splunk 至 _internal 索引的搜索不会禁用这意味着, 您仍可访问索引状态仪表板, 或者您仍可对 _internal 运行搜索以诊断许可问题出现许可证违规? 请阅读管理员手册中的关于许可证违规或 Splunk 社区 Wiki 的故障排除索引的数据量管理员手册中的管理 Splunk 许可证一章提供了更多许可授权信息升级或迁移 Splunk Enterprise 如何升级 Splunk Enterprise 本主题介绍了如何从一个版本升级 Splunk Enterprise 及其组件到另一个版本许多情况下, 您可安装最新软件包到现有安装以升级 Splunk Enterprise 在 Windows 系统上, 安装程序软件包将检测您已经安装的早期版本, 并提供给您升级始终使用具备管理员权限的用户帐户来升级 Splunk Enterprise 6.3 的新功能? 有关 6.3 版本所提供全新功能的完整列表, 请参阅发行说明中的认识 Splunk Enterprise 6.3 有关本版本的问题和解决方案列表, 请阅读发行说明中的已知问题备份您的现有部署进行任何升级或迁移之前, 一律备份现有 Splunk Enterprise 部署通过使用允许您恢复 Splunk Enterprise 安装和数据到升级之前状态的技术, 您可以管理风险, 无论使用外部备份磁盘或文件系统快照还是其他方式当备份 Splunk Enterprise 数据时, 请考虑 $SPLUNK_HOME 目录和它之外的任何索引有关备份 Splunk Enterprise 部署的更多信息, 请参阅管理员手册中的备份配置信息和管理索引器和群集手册中的备份索引数据基于环境选择适当的升级程序您升级 Splunk Enterprise 方式的区别基于您是否有单独的 Splunk 实例或多个共同连接的 Splunk 实例如果您已经配置了 Splunk 实例群集, 则区别会很显著升级分布式环境如果您计划升级分布式 Splunk Enterprise 环境, 包括存在一个或多个搜索头池的环境, 请阅读安装手册中的升级您的分布式 Splunk Enterprise 部署升级群集环境对于升级索引器群集或搜索头群集, 存在特殊要求要升级索引器群集, 请参阅管理索引器和群集手册中的升级索引器群集要升级搜索头群集, 请参阅分布式搜索手册中的升级搜索头群集本手册这些主题中包含代替该说明的升级说明然后, 在升级之前阅读重要的迁移信息请参阅关于升级到 6.3: 首先阅读此主题, 了解升级时可能影响您的特定迁移提示和信息从 6.0 和更高版本升级 42

Splunk Enterprise 支持从 6.0 和更高版本直接升级到 6.3 版本在 *nix 上升级到 6.3 在 Windows 上升级到 6.3 从 5.0 和更早版本升级不正式支持从 5.0 和更早版本直接升级到 6.3 版本如果您运行 5.0 版, 尝试升级到 6.3 版之前首先升级到 6.2 版如果您运行 4.3 版, 尝试升级到 6.3 版之前首先升级到 6.0 版如果您运行 4.3 版之前的版本, 在最终尝试升级到 6.3 版之前首先升级到 4.3 版, 然后升级到 6.0 版有关如何升级到 4.3 版的特定信息, 请阅读关于升级到 4.3 首先阅读此主题升级通用转发器升级通用转发器使用与升级完整 Splunk Enterprise 不同的进程升级通用转发器之前, 请务必阅读您操作系统的适当升级主题 : 升级 Windows 通用转发器升级 *nix 系统的通用转发器有关索引器和通用转发器的互操作性和兼容性信息, 请阅读转发数据手册的索引器和通用转发器兼容性关于升级到 6.3 - 首先阅读此主题本主题包含您在从早期版本升级到 6.3 版本之前的重要信息和提示尝试升级您的 Splunk 环境之前阅读上述信息 Splunk 应用和加载项兼容性并非所有 Splunk 应用和加载项都与 Splunk Enterprise 6.3 兼容如果您计划升级到本版本, 请访问 Splunkbase 确认您的应用与 Splunk Enterprise 6.3 兼容升级群集环境要升级索引器群集, 请阅读管理索引器和群集手册中的升级索引器群集该主题中说明代替本手册中升级材料要升级搜索头群集, 请阅读分布式搜索手册中的升级搜索头群集该主题中说明代替本手册中升级材料升级路径 Splunk Enterprise 支持至软件 6.3 版本的以下升级路径 : 从完整 Splunk Enterprise 6.0 版本或更高版本升级至 6.3 版本从 Splunk 通用转发器 5.0 版本或更高版本升级至 6.3 版本如果您运行 6.0 之前的 Splunk Enterprise 版本, 首先升级至 6.0, 然后升级至 6.3 Splunk Enterprise 5.0 的用户在升级至 6.3 之前, 也可选择升级至 6.0 6.1 或 6.2 版本有关如何将您的实例迁移到 6.0 版的提示, 请阅读关于升级到 6.0 - 首先阅读此主题重要升级信息和更改在安装新版本时, 您应记住几件事情 : 已移除对于部署监视器应用的支持已移除对于 Splunk 部署监视器应用的支持当您升级至 Splunk Enterprise 6.3 时, 改用分布式管理控制台 (DMC) 来监视您的分布式部署请参阅分布式管理控制台手册数据块签名已删除数据块签名已从 Splunk Enterprise 6.2 版本中删除此功能已弃用一段时间升级时将重新构建加速的自定义数据模型摘要当您升级至 Splunk Enterprise 6.3 时, 目前在实例上的任何加速的自定义数据模型摘要 - 例如由 Splunk App for Enterprise Security 创建的这些摘要 - 将被重新构建这是因为对于已经进行的数据模型搜索的优化, 会使得搜索与先前生成的摘要不兼容在重新构建过程中, 索引器上摘要使用的 CPU 内存和磁盘 I/O 都将显著增加依赖于这些数据模型摘要的搜索将会非常缓慢, 可能无法正常工作 43

如果您需要预防 Splunk Enterprise 升级时自动重新构建这些摘要, 则在开始升级之前对于 Splunk Enterprise 配置进行如下更改 : 在 datamodels.conf 中 : acceleration.manual_rebuilds = true 在 limits.conf 中 : [tstats] allow_old_summaries = true 现在对于学习来源类型的数量存在限制在所有版本的 Splunk Enterprise 中, 对于实例在监视和索引文件的过程中能学习的来源类型的数量存在限制为了减少在这样的操作过程中 CPU 和内存使用量达到高峰的情况, 创建了一个新的属性来控制实例在监视文件和分析文件内容时学习的来源类型数量限制值为 1,000, 您可通过编辑 limits.conf 中的以下属性并重新启动 Splunk Enterprise 来更改该设置 : learned_sourcetypes_limit = <number> 该设置应能预防内存和 CPU 使用量达到高峰, 同时继续使用 props.conf 和 inputs.conf 来定义并应用来源类型已启用数据模型摘要的并行摘要 Splunk 平台每次运行来为数据模型生成摘要文件的搜索数量已更改当您升级至 Splunk Enterprise 6.3 时, 软件会运行两个并发搜索任务 ( 而非一个 ) 来生成摘要文件该更改称为并行摘要当搜索任务运行时, 它可能会导致在包含数据模型的实例上 CPU 和内存使用量的增加, 但是也会导致可更快使用数据模型摘要您可以为个别数据模型将此设置改回之前的默认值请参阅知识管理器手册中的并行摘要现在未加速数据模型的结果与加速数据模型的结果相匹配未加速数据模型查询事件索引的方式已更改这些模型现在查询所有的索引, 而不仅是默认的索引这意味着, 您看到的未加速数据模型的结果数量现在应该与您看到的加速数据模型的结果数量相匹配在升级后, 您可能会看到未加速数据模型比升级之前更多的结果现在您必须启用对于 Splunk Enterprise 调试端点的访问默认情况下,Splunk Enterprise 过去一向允许访问调试端点现在已不再如此升级时, 您将不能访问调试端点, 直到您对于 web.conf 进行更改并重新启动 Splunk Enterprise: [settings] enablewebdebug = true 不支持从独立搜索头或搜索头合并到搜索头群集化的迁移如果您当前正运行独立搜索头或使用搜索头合并, 将没有路径迁移到搜索头群集化要使用新功能, 您必须删除搜索头合并, 然后在升级后配置搜索头群集化新应用键值存储服务可能会增加磁盘空间使用量应用键值存储 (KV 存储 ) 服务 ( 通过在其中存储和检索数据来提供一种保留应用程序状态的方式 ) 可能导致实例上的磁盘使用量的增加, 这取决于您运行了多少应用您可以通过编辑 server.conf 更改 KV 存储服务放置数据的位置, 使用 splunk clean CLI 命令恢复 KV 存储使用的数据请参阅管理员手册中的关于应用键值存储新安装的服务打开额外的网络端口 Splunk Enterprise 将安装并运行两个新服务 : 应用键值存储和应用服务器这会在本地计算机上默认打开两个网络端口 8065( 用于 Appserver) 和 8191( 用于应用键值存储 ) 确保您在计算机上运行的任何防火墙软件不会阻止这些端口应用键值存储服务也启动一个额外的过程 mongod 如果需要, 您可以通过编辑 server.conf 和更改 dbpath 属性到 Splunk Enterprise 实例能到达的文件系统的有效路径来禁用应用键值存储请参阅管理员手册中的关于应用键值存储 44

Splunk Enterprise 随附了数据生成工具当您升级至 Splunk Enterprise 6.3 时, 安装程序会安装一个生成示例数据的工具如果您搜索任意的此种示例数据, 它会计入您每日索引的许可量确认 introspection 目录有正确的权限如果您作为非 root 用户在 Linux 上运行 Splunk Enterprise 并使用 RPM 来升级,RPM 将 $SPLUNK_HOME/var/log/introspection 目录写为 root 用户当您之后试图启动实例的时候这会产生错误要防止出错, 在升级后重新启动 Splunk Enterprise 前, 将 $SPLUNK_HOME/var/log/introspection 目录 chown 为 Splunk Enterprise 运行时所使用的用户 Splunk 数据库连接应用会导致数据输入的问题由于 Splunk 数据库连接应用的 1.1.4 版本的设计缺陷, 如果您使用安装的应用升级 Splunk Enterprise 实例, 数据输入页面的转发输入部分会消失要解决此问题, 在开始升级前将此应用升级到 1.1.5 版本 Splunk Web 可视化编辑器的更改优先于单值可视化的现有 'rangemap' 配置如果您使用 rangemap 搜索命令来定义仪表板上单值可视化的范围和颜色, 升级时则改为使用格式编辑器使用格式编辑器对于这些可视化进行的更改会覆盖 rangemap 配置继续, 通过使用不包含 rangemap 命令的查询来生成新的单值可视化, 然后使用格式编辑器来配置范围颜色或任何其他设置您使用编辑器对于由 = rangemap 生成的单值可视化进行的任何更改, 会覆盖您对于 range map 命令的编辑另外, 当编辑器尝试保存现有配置时, 它不再将 rangemap 识别为生成这些可视化类型的有效命令一些属性的新默认值会影响 SSL 上的 Splunk 操作有些新默认值可能会影响在 SSL 上运行 Splunk Enterprise: supportsslv3only 属性 ( 此属性控制 Splunk Enterprise 如何处理 SSL 客户端 ) 现在的默认设置为 true 这意味着只有使用 SSL v3 协议的客户端才能连接到 Splunk Enterprise 实例 ciphersuite 属性 ( 此属性控制在 SSL 连接期间使用的加密协议 ) 现在的默认设置为 TLSV1+HIGH:@STRENGTH 这意味着只有拥有传输层安全 (TLS) v1 密码和高加密套件的客户端才能连接到 Splunk Enterprise 实例登录页面自定义不再可用登录页面自定义在 Splunk Enterprise 6.2 版本中不再可用在升级后您只能修改登录页面的页眉和页脚 Windows 特定更改 Windows 主机监视输入不再监视应用程序状态已将 Windows 主机监视输入修改为不再监视已安装的应用程序状态由于 Splunk Enterprise 用来监视应用程序状态的系统调用中的一个 bug, Windows 安装程序服务会试图重新配置所有已安装的应用程序升级时, 任何引用了应用程序属性的 Windows 主机监视输入段落将会失效要获得应用程序状态数据, 可使用 Windows 事件日志监视器并搜索事件 ID 号 11707( 用于安装 ) 或 11724( 用于卸载 / 删除 ) 也可以使用 PowerShell 脚本 (Get-WmiObject -Class Win32_Product Format-List -Property Name,InstallDate,InstallLocation,PackageCache,Vendor,Version,IdentifyingNum) 或 WMIC (wmic product get name,version,installdate) 新的安装和升级过程从 Splunk Enterprise 6.3 版本开始,Splunk Enterprise 的 Windows 版本使用更加简化的安装和升级工作流安装程序现在假定特定的默认值 ( 用于新的安装 ) 和默认保留现有的设置 ( 用于升级 ) 要对于默认安装进行任何更改, 您必须检查自定义选项按钮在升级期间, 您唯一的选择是接受许可协议请参阅安装选项该功能于 Splunk Enterprise 6.2 推出, 但为了那些从早期版本升级到 6.3 的用户, 我们在此处保留它 Splunk Web 服务安装但不运行从 Splunk Enterprise 6.2 版本开始,splunkd 服务处理所有的 Splunk Web 操作然而, 在 Windows 实例上, 尽管在正常模式操作的时候 splunkweb 服务一启动立即退出, 安装程序仍然会安装此服务您可通过更改 web.conf 中的配置参数配置服务在旧模式下运行请参阅管理员手册中的在旧模式中, 在 Windows 上启动 Splunk Enterprise 重要提示 : 切勿永久在传统模式下运行 Splunk Web 使用传统模式临时解决由用户界面与主 splunkd 服务的新集成引入的问题一旦您纠正此问题, 尽快将 Splunk Web 返回到正常模式该更改于 Splunk Enterprise 6.2 推出, 但为了那些从早期版本升级到 6.3 的用户, 我们在此处保留它 45

升级后, 将不支持启用联邦信息处理标准 (FIPS) 对于从附带启用安全套接字层 (SSL) 证书的 Splunk Enterprise 系统升级到启用 FIPS 的系统不支持升级路径如果您需要启用 FIPS, 您必须在新安装时开启了解已知的升级问题要了解 Splunk Enterprise 的任何其他升级问题, 请参阅发行说明中的已知问题 - 升级问题 [[Category:V:Splunk:Galaxy] 从版本 5 至版本 6 的 Splunk Web 程序有何更改本主题列出从 5.x 版本到 6.3 版本中如何使用 Splunk Web 用户界面完成任务的一些主要区别更改了什么? 程序 / 任务您之前如何使用它您现在如何使用它首次登录 Splunk Enterprise 在 5.x 中,Splunk Enterprise 启动器具有两个选项卡 : 欢迎和 Splunk 主页在欢迎中, 您可以添加数据和启动搜索应在 6.3 中,Splunk Enterprise 以主页启动该主页的主要部分包括 Splunk Enterprise 导航栏应用面板浏览 Splunk Enterprise 面板和一个自定义的默认仪表板 ( 这里未显示 ) 用返回到主页在 5.x 中, 要返回主页 / 欢迎, 您从应用菜单选择主页应用在 6.3 中, 您单击导航栏左上角的 Splunk 徽标这样做会始终返回主页编辑帐户信息在 5.x 中, 您在管理器 > 用户和验证 > 您的帐户下访问帐户信息 ( 更改全名电子邮件地址默认应用时区密码 ) 在 6.3 中, 您从管理员 > 编辑帐户下的 Splunk 导航直接访问帐户信息注销 Splunk Enterprise 在 5.x 中, 您单击导航栏上的注销按钮在 6.3 中, 您选择管理员 > 注销 ( 如果您未以管理员身份登录,Splunk Enterprise 显示已登录用户的全称单击该名称启动登录菜单选项 ) 管理器 / 设置在 5.x 中, 您从管理器页面或导航栏上的管理员链接编辑所有对象和系统配置在 6.3 中, 您直接从设置菜单访问这些配置没有单独的管理器页面管理应用 : 编辑安装的应用的权限, 创建在 5.x 中, 您使用管理器 -> 应用或从应用菜单选择 46 在 6.3 中, 您使用导航栏上的应用菜单或主页的应用名称旁边的齿轮图标

新应用或浏览 Splunk Apps 的社区应用搜索摘要, 搜索搜索 & 报表仪表板 & 视图搜索报表仪表板提取字段或显示来源在搜索结果中, 单击事件时间戳左侧的箭头并选择提取字段或显示来源在搜索结果中, 单击事件时间戳左侧的箭头, 然后点击事件动作选择提取字段或显示来源查找告警列表在导航栏中, 您选择告警在导航栏中, 您选择活动 > 触发的告警查找时间线在 5.x 中, 在运行搜索后, 时间线始终作为仪表板一部分可见您可以隐藏时间线在 6.3 中, 您仅能在运行搜索后, 在查找事件选项卡的情况下查看时间线 Splunk 应用开发人员的更改如果为 Splunk 平台开发应用, 请阅读本主题, 了解我们对 6.3 版本的软件使用应用的方式进行的更改, 以及如何迁移现有应用以便用于新版本我们已弃用高级 XML 我们已弃用 Splunk Web Framework 的高级 XML 功能这意味着将不会进一步开发该功能, 而且会在 Splunk 软件的未来版本中删除对它的支持虽然高级 XML 将不再获得功能增强, 但是仍然会获得支持, 我们将修复开发人员或客户遇到的任何 bug 使用高级 XML 功能的仪表板也将继续工作开发人员应该开始使用 Splunk Web Framework 的其他功能, 例如 HTML 简化 XML 和简化 XML js/css 扩展名, 来构建他们的视图或应用请参阅开发用于 Splunk Web 的视图和应用手册中的高级 XML 弃用我们已弃用 Django Web Framework Bindings 为了简化我们提供的有关如何为 Splunk 平台应用构建用户界面组件的指导, 我们在用户界面框架中放弃使用 Django 这意味着将不会进一步开发该功能, 而且会在 Splunk 软件的未来版本中删除对它的支持虽然 Django Bindings 将不再获得功能增强, 但是仍然会获得支持, 我们将修复开发人员或客户遇到的任何 bug 开发人员应该开始将简化 XML 或 HTML 功能与 SplunkJS 结合使用, 作为在构建应用 UI 组件的过程中 Django 的替 47

代方法有关 Splunk Web Framework 中可用功能的信息, 请参阅 Splunk 开发人员门户的 Splunk Web Framework 概述我们已弃用一些简单 XML 元素我们已弃用许多简单 XML 元素, 包括 : form 输入类型内的 <seed> 元素 : 改用 <initialvalue> 元素 <seed> 为了兼容性仍将支持它, 但是将删除在文档中对它的引用 previewresults <option> 参数 searchtemplate 元素 ( 也已弃用 ) 支持该参数 <chart> 元素的 charting.axislabelsy.majorlabelvisibility 和 charting.axislabely.majorticksize 属性 <single> 元素的以下属性 : additionalclass classfield beforelabel afterlabel 虽然这些元素继续获得支持, 但是将不会进一步的开发它们, 而且会在 Splunk 软件未来的版本中删除它们我们已经向简化 XML 仪表板框架中添加了一些高级功能有一些高级功能添加到 6.3 的简化 XML 中, 包括 : 链接列表表单输入搜索结果令牌设置 - 允许您基于搜索任务甚至首次搜索结果的可用元数据来设置令牌绑定搜索事件处理程序 (progress, preview, done, finalized, cancelled, error, fail) 基于搜索或任务元数据, 以及首个结果集,set/unset/eval 令牌 Eval 表达式支持令牌设置和匹配条件我们已经更新单值可视化已显著更新单值可视化, 包括更好的数字格式一个迷你图趋势指标以及更好的颜色控制注意, 在此重新设计中也有几个选项已被弃用我们建议您查看和更新任何使用该可视化的仪表板我们添加了新的地理空间可视化 Choropleth 地图您可以使用 Choropleth 地图在地理区域中映射一个基于数字或字符串的字段这样就可以发现模式, 并快速获得对于您的数据的空间分布感我们软件包内置了国家或世界以及美国 50 个洲的多边形定义我们还允许用户上传自己的多边形定义 ( 以 KMZ 格式 ) 在安装应用组件后, 我们不再要求应用重新启动 splunkd 从 6.3 版本开始, 如果您的应用具有自定义控制器模块或其他组件, 并包含 web.conf 文件, 为了安装这些组件将不再需要重新启动 splunkd 软件现在改为重新加载配置我们已经使用自定义告警操作框架替换运行脚本告警操作如果您开发的应用带有会触发操作 ( 例如运行脚本 ) 的告警, 当您将 Splunk 软件升级到 6.3 版本时, 可用的告警操作选项会更多该版本软件附带一个自定义框架, 您可以使用它在触发告警时运行脚本或执行其他操作有关新功能的其他信息, 请参阅开发用于 Splunk Web 的视图和应用手册中的自定义告警操作概述我们启用了静态资产的服务器端缓存 Splunk Enterprise 现在在服务器上缓存静态资产 ( 应用内位于 appserver/static 目录的项目 ) 这意味着, 作为开发人员, 您必须清除服务器缓存以及浏览器缓存, 以查看 Splunk 软件实例上这些资产的任何变化如果您是在一个专门的开发环境中, 则可以在应用中配置 web.conf 以禁用这些资产的服务器端缓存有关更多信息, 请参阅开发用于 Splunk Web 的视图和应用手册中的自定义后清除客户端和服务器资产缓存我们提出了一种通过 HTTP(HTTP 事件收集器 ) 将数据发送到 Splunk Enterprise 的方法我们已经开发出一种方式,Splunk 开发人员可以不需要转发器即可将数据发送到 Splunk 索引器对于 Splunk HTTP 事件收集器的介绍提供了有关这项新功能的其他信息以及开发它的方式我们对于应用键值存储进行了改进 48

我们对于应用键值存储进行了改进我们对于应用键值存储功能进行了若干改进改进包括性能提升, 在索引层增加对于以分布式搜索为基础的查找的支持, 支持自动查找, 以及改进查找 ( 如添加使用过滤器和查询的能力 ) 有关更多信息, 请参阅 Splunk 开发人员门户的使用应用键值存储管理状态我们扩展了开发人员指南我们在开发人员指南中增加了开发人员案例研究, 以便提升开发人员操纵 Splunk Enterprise 产品的技术水平有关哪些内容已经变更的详细信息, 请参阅 Splunk 开发人员门户的开发人员指南在 *NIX 上升级到 6.3 本主题介绍升级 *nix Splunk Enterprise 实例的过程在升级之前确保您在继续之前阅读本信息, 以及以下 : 备份您的文件执行升级之前, 我们强烈建议您备份所有文件, 包括 Splunk Enterprise 配置索引的数据和二进制文件 Splunk Enterprise 不提供恢复到旧版本的方法如果您需要转换为 Splunk 旧版本, 只需重新安装有关备份数据的信息, 请参阅管理索引器和群集手册中的备份索引数据有关备份配置的信息, 请参阅管理员手册中的备份配置信息升级如何工作在执行新版本的安装后,Splunk Enterprise 不会实际更改您的配置, 直到重新启动此时您可以运行迁移预览实用工具, 以在 Splunk 更新文件之前了解哪些内容将被更改如果您选择在继续之前查看变更, 则升级脚本将建议变更写入 $SPLUNK_HOME/var/log/splunk/migration.log.<timestamp> 文件升级步骤 1. 执行 $SPLUNK_HOME/bin/splunk stop 命令重要提示 : 确保任何其他进程都不能自动启动 Splunk( 如 Solaris SMF) 2. 要从 5.0 和更高版本升级和迁移, 安装 Splunk Enterprise 软件包到您的现有部署 : 如果您使用的是.tar 文件, 则将其扩展到与现有 Splunk Enterprise 实例相同的目录 ( 具有相同所有权 ) 中这将覆盖并替换匹配文件, 但不会删除唯一的文件注意 : 在以 root 用户之外的用户身份运行时,AIX tar 会覆盖文件失败使用 GNU tar (gtar) 避免此问题如果您使用的是软件包管理器 ( 如 RPM), 请键入 rpm -U splunk_package_name.rpm 如果您使用的是.dmg 文件 ( 在 Mac OS X 上 ), 请双击该文件并按照说明操作请务必指定与现有安装相同的安装目录 3. 执行 $SPLUNK_HOME/bin/splunk start 命令 Splunk Enterprise 显示以下输出 : This appears to be an upgrade of Splunk. -------------------------------------------------------------------------------- Splunk has detected an older version of Splunk installed on this machine. To finish upgrading to the new version, Splunk's installer will automatically update and alter your current configuration files. Deprecated configuration files will be renamed with a.deprecated extension. You can choose to preview the changes that will be made to your configuration files before proceeding with the migration and upgrade: If you want to migrate and upgrade without previewing the changes that will be made to your existing configuration files, choose 'y'. If you want to see what changes will be made before you proceed with the upgrade, choose 'n'. 49

Perform migration and upgrade without previewing configuration changes? [y/n] 4. 选择是要运行迁移预览脚本以了解现有配置文件将发生哪些更改, 还是继续迁移并立刻升级 5. 如果选择查看预期更改, 脚本会提供一个列表 6. 在查看完这些更改并准备继续迁移和升级之后, 再次运行 $SPLUNK_HOME/bin/splunk start 注意 : 只需一行, 您即可完成步骤 3 到 5: 是否在继续升级之前接受许可证并查看预期更改 ( 回答 'n'): $SPLUNK_HOME/bin/splunk start --accept-license --answer-no 是否接收许可证并开始升级而不查看更改 ( 回答 'y'): $SPLUNK_HOME/bin/splunk start --accept-license --answer-yes 在 Windows 上升级到 6.3 本主题介绍升级 Windows Splunk Enterprise 实例的过程您可以使用 GUI 安装程序升级, 或运行命令行上的 msiexec 实用工具, 如同通过命令行在 Windows 上安装在升级之前在继续之前阅读本信息, 以及以下内容 : 确保您指定相同的域用户升级时, 您必须明确指定在首次安装期间指定的同一域用户如果未指定同一用户,Splunk Enterprise 将默认使用本地系统用户如果在安装期间意外指定错误的用户, 使用这些说明在启动 Splunk 之前切换到正确的用户不要更改端口 Splunk Enterprise 不支持在升级时更改管理端口和 / 或 HTTP 端口备份您的文件执行升级之前, 我们强烈建议您备份所有文件, 包括 Splunk 配置索引的数据和二进制文件 Splunk 不会提供降级到之前版本的方式 ; 如果您需要转换为更早的 Splunk Enterprise 版本, 只需重新安装它有关备份数据的信息, 请参阅管理索引器和群集手册中的备份索引数据有关备份配置的信息, 请参阅管理员手册中的备份配置信息注意 : 在 Windows 上升级时, 安装程序将覆盖您在 %SPLUNK_HOME%\etc\auth 中创建的任何自定义证书颁发机构 (CA) 证书如果拥有自定义 CA 文件, 确保在升级之前备份它们升级后, 您可以复制它们回 %SPLUNK_HOME%\etc\auth 以进行恢复恢复证书后, 重新启动 Splunk 不要尝试在升级后降级在升级 Splunk Enterprise 后, 如果需要降级, 您必须卸载已升级的版本, 然后重新安装您之前使用的 Splunk Enterprise 早期版本不要尝试使用之前版本的安装程序覆盖已升级的安装这样会导致损坏实例和数据损失使用 GUI 安装程序升级 1. 从 Splunk 下载页面下载新 MSI 文件 2. 双击 MSI 文件安装程序运行并尝试检测计算机上安装的 Splunk Enterprise 的现有版本当它找到旧版本的时候, 会显示一个窗格, 请您接受许可协议 3. 接受许可协议然后安装程序安装更新的 Splunk Enterprise, 保留现有安装的所有参数默认情况下, 当安装完成的时候安装程序重新启动 Splunk Enterprise 安装程序将在升级期间对于配置文件所进行更改的日志放在 %TEMP% 中使用命令行升级 1. 从 Splunk 下载页面下载新 MSI 文件 2. 使用通过命令行在 Windows 上安装的说明 50

如果 Splunk 正以本地系统用户之外的用户身份运行, 则必须在命令行说明中明确指定该用户您可以使用 LAUNCHSPLUNK 标记指定 Splunk Enterprise 是否应在完成后自动启动, 但是您无法更改任何其他设置不要在此时更改端口 (SPLUNKD_PORT 和 WEB_PORT) 3. 根据规格不同,Splunk Enterprise 可能在您完成安装后自动启动安装程序将在升级期间对于配置文件所进行更改的日志放在 %TEMP% 中启动 Splunk Enterprise 在 Windows 上,Splunk Enterprise 默认安装在 %SYSTEMDRIVE%\Program Files\Splunk 中并默认启动您可以通过 Windows 服务控制面板启动和停止以下 Splunk Enterprise 进程 : 服务器和 Web 界面 : splunkd 您还可以转到 %SYSTEMDRIVE%\Program Files\Splunk\bin 并键入以下命令, 同时启动停止和重新启动这两个进程 : # splunk [start stop restart] 升级您的分布式 Splunk Enterprise 环境本主题提供分布式 Splunk Enterprise 部署的各组件升级方式的高级指导要升级群集环境, 请参阅管理索引器和索引器群集手册中的升级索引器群集升级分布式 Splunk Enterprise 环境所面临的挑战超过了升级单个实例的安装要减少停机时间并确保数据完整性, 请按特定顺序升级组件注意 : 分布式环境差异巨大因此, 没有特定的分步程序如果您还有其他的分布式 Splunk Enterprise 环境升级问题, 可以在 Splunk 支持门户记录相应情况分布式组件之间的跨版本兼容性有关不同版本搜索头和搜索节点 ( 索引器 ) 之间兼容性的信息, 请参阅分布式搜索手册中的分布式搜索的系统要求和其他部署考虑有关索引器与转发器之间兼容性的信息, 请参阅转发数据手册中的转发器与索引器兼容性在升级之前测试应用在升级分布式环境之前, 请确认 Splunk 应用可在您计划升级到的 Splunk Enterprise 版本上运行如果您想要升级的分布式环境包含搜索头池, 则必须测试应用, 因为搜索头池对应用和配置使用共享存储空间要确认应用可在您想要升级到的 Splunk Enterprise 版本上运行 : 1. 在参考计算机上, 安装当前运行的完整 Splunk Enterprise 版本 2. 在此实例上安装应用 3. 访问应用以确认它们如您所期望的一样运行 4. 升级实例 5. 再次访问应用以确认它们仍在运行如果应用按预期运行, 则可以在升级分布式环境期间将其移到相应位置 : 如果使用的是非池搜索头, 请在每个搜索头的升级过程中将应用移到该搜索头上的 $SPLUNK_HOME/etc/apps 如果使用的是池搜索头, 请将应用移到共享存储位置, 池搜索头应该在此位置查找应用警告 : 当您升级池搜索头时, 迁移实用工具会警告您需要将应用复制到搜索头的共享存储但该工具不会为您复制这些应用您必须在升级过程中手动将更新后的应用复制到共享存储, 包括 Splunk Enterprise 随附的应用 ( 例如, 搜索应用 ) 如果不这样做, 则在完成升级之后, 用户界面可能会出现问题升级包含多个索引器和非池搜索头的分布式环境为了保持可用性, 请先升级搜索头, 然后再升级支持搜索头的索引层如果您的环境中包含部署服务器, 则在升级搜索头之前禁用它们升级包含多个索引器和非池搜索头的分布式环境 : 准备升级 51

1. 确认非池搜索头使用的所有应用均可在 Splunk 升级版本上运行, 如本主题中的在升级之前测试应用 2. 如果您的环境中使用部署服务器, 请暂时禁用该服务器这可防止该服务器将无效配置分布到您的其他组件 3. 升级部署服务器, 但不要重新启动它升级搜索头 1. 禁用一个搜索头 2. 升级搜索头不要让其重新启动 3. 在升级该搜索头之后, 将经确认可以正常运行的应用放入搜索头的 $SPLUNK_HOME/etc/apps 目录中 4. 重新启用并重新启动搜索头 5. 在搜索头上测试应用的运行状况和功能 6. 如果该搜索头没有任何问题, 则逐个禁用其余搜索头并升级重复此步骤, 直到已达到您环境中的最后一个搜索头注意 : 也可以在启用每个搜索头之后测试其运行状况和功能 7. 在升级完最后一个搜索头之后, 测试所有搜索头的运行状况和功能升级索引器 1. 逐个禁用索引器并进行升级可以在升级之后立即重新启动索引器 2. 测试搜索头, 以确保其在所有索引器中查找数据 3. 在升级完所有索引器之后, 重新启动部署服务器升级包含多个索引器和池搜索头的分布式环境如果您的分布式环境包含池搜索头, 则升级此环境的过程明显变得更加复杂如果您的组织对停机时间有限制, 则使用维护窗口来执行此类升级以下是升级此种环境的一些重要概念 : 池搜索头必须作为一组启用和禁用所有池搜索头上的 Splunk Enterprise 版本必须均相同在升级搜索头池之前, 您必须测试搜索头使用的应用和配置如果您对此处所示的指导说明有其他问题, 可以通过 Splunk 支持门户记录相应情况升级包含多个索引器和池搜索头的分布式 Splunk 环境 : 准备升级 1. 确认池搜索头使用的所有应用均可在 Splunk Enterprise 升级版本上运行, 如本主题中的在升级之前测试应用 2. 如果您的环境中使用部署服务器, 请暂时禁用该服务器这可防止该服务器将无效配置分布到您的其他组件 3. 升级部署服务器, 但不要重新启动它注意 : 有关如何在每个搜索头上启用和禁用搜索头合并的说明, 请参阅分布式搜索手册中的配置搜索头合并 4. 在您的搜索头池中指定一个要升级的搜索头, 以测试功能和运行情况 5. 对于这些说明的其余部分, 请参阅作为搜索头 #1 的那个搜索头注意 : 您必须先将搜索头从搜索头池中删除, 然后才能升级搜索头必须执行此操作有以下几个原因 : 防止搜索头池共享存储中托管的应用和用户对象被更改阻止本地应用和系统设置在升级期间被意外迁移到共享存储确保当升级期间发生问题时, 您在回退中使用有效的本地配置如果升级引发了问题, 则可以在非合并配置中暂时使用搜索头作为备份升级搜索头池警告 : 升级之前, 先将每个搜索头从搜索头池中删除 ; 升级之后, 将其重新添加回池中尽管不需要确认每个搜索头的运行情况和功能, 但是在升级阶段期间一次只能运行一个搜索头 1. 关闭您环境中的所有搜索头此时, 搜索操作将不可用, 直到您在升级之后重新启动所有搜索头时搜索功能才可用 52

2. 将经确认可以正常运行的应用放入搜索头池的共享存储区域中 3. 将搜索头 #1 从搜索头池中删除 4. 升级搜索头 #1 5. 重新启动搜索头 #1 6. 测试搜索头的运行状况和功能在本例中, 运行情况和功能意味着实例启动并且您可以登录该实例并不意味着您可以使用共享存储中托管的应用或对象也不意味着分布式搜索将正确运行 7. 如果升级的搜索头 #1 按预期运行, 则将其关闭 8. 将应用和用户首选项从搜索头复制到共享存储上 9. 将搜索头添加回搜索头池中 10. 重新启动搜索头 11. 逐个升级池中的其余搜索头重新启动搜索头 1. 在升级完池中的最后一个搜索头之后, 重新启动所有搜索头 2. 测试所有搜索头在搜索头池中托管的所有应用和用户对象上的运行情况和功能 3. 在所有索引器中测试分布式搜索升级索引器注意 : 有关搜索头和索引器之间版本兼容性的信息, 请参阅分布式搜索手册中的分布式搜索的系统要求和其他部署考虑 1.( 可选, 如果没有停机时间的问题 ) 选择一个索引器以保持运行环境, 并将其指定为索引器 #1 2.( 可选, 如果没有停机时间的问题 ) 选择第二个索引器进行升级, 并将其指定为索引器 #2 3. 如果需要保持正常运行时间, 则关闭除索引器 #1 之外的其他所有索引器否则, 关闭所有的索引器, 并继续步骤 7 4. 升级索引器 #2 5. 启动索引器 #2 并测试其运行情况和功能 6. 在确认索引器 #2 正确运行之后, 关闭索引器 #1 7. 逐个升级索引器 #1 以及所有其余索引器可以在升级之后立即重新启动索引器 8. 确认所有索引器的运行情况和功能 9. 重新启动部署服务器, 并确认其运行情况和功能升级转发器升级分布式环境时, 您还可以升级该环境中的所有通用转发器但这不是必需的, 您可能希望考虑是否需要这样做转发器始终兼容最新版本的索引器要升级通用转发器, 请参阅转发数据手册中的以下主题 : 升级 Windows 通用转发器升级 *nix 系统的通用转发器迁移 Splunk Enterprise 实例这些迁移说明仅适用于本地 Splunk Enterprise 实例如果您是 Splunk Cloud 客户或者想将数据从 Splunk Enterprise 迁移到 Splunk Cloud, 切勿使用这些说明请联系专业服务以寻求帮助本主题介绍了从一个服务器操作系统架构或文件系统迁移 Splunk Enterprise 实例到另一个服务器, 且同时保留索引的数据配置和用户的程序这与仅在旧版本上安装新版本的升级不同 ( 尽管升级也是一种迁移的类型 ) 何时迁移 53

迁移 Splunk Enterprise 安装有一些原因 : 您的 Splunk Enterprise 安装位于即将停用或重新用于其他目的的服务器您的 Splunk Enterprise 安装在您组织或 Splunk 不再支持的操作系统, 同时希望移动到支持的操作系统您希望切换操作系统 ( 例如, 从 *nix 到 Windows, 反之亦然 ) 您希望移动 Splunk Enterprise 安装到其他文件系统您的 Splunk Enterprise 安装位于 32 位架构, 同时希望移动到 64 位架构以获得更高性能您的 Splunk Enterprise 安装位于计划不再支持的系统架构, 同时希望移动到支持的架构迁移时要考虑什么事项尽管迁移 Splunk Enterprise 实例在许多情况下非常简单, 但是进行迁移时仍要注意一些重要的注意事项根据迁移相关系统类型版本和架构的不同, 您可能需要考虑不止一个项目迁移 Splunk Enterprise 实例时, 注意 : 端序如果使用 4.2 版之前的 Splunk Enterprise 版本索引数据, 组成该数据的索引文件会对操作系统的端序非常敏感, 这是系统组织单个二进制文件字节的方式 ( 或其他数据结构 ) 一些操作系统是大端序 ( 意味着它们首先存储二进制文件最重要的字节 ), 其他则是小端序 ( 意味着它们存储不重要的字节 ) 这些操作系统将创建同一端序的二进制文件索引数据桶文件是二进制, 因此对于 4.2 版之前的 Splunk 版本来说, 这是与创建它们的操作系统相同的端序有关处理器架构及其使用的端序的列表, 请参阅 Wikipedia 上的端序文章当迁移 4.2 版之前的 Splunk Enterprise 实例时, 为使目标系统能够读取迁移的数据, 您必须在具有相同端序类型的系统之间转移索引文件 ( 例如, 同在 SPARC 处理器上运行的 NetBSD 系统与 Linux 系统之间 ) 如果无法在使用同一端序的系统之间移动索引 ( 例如, 当从大端序系统移动到小端序系统时 ), 您可以通过将数据从大端序系统转发至小端序系统而对其进行移动然后, 在转发完所有数据后, 您可以停用大端序系统由 Splunk Enterprise 4.2 和更高版本创建的索引文件没有端序问题 Windows 和 Unix 路径分隔符的差别 *nix 和 Windows 上的路径分隔符 ( 用于分隔路径单个目录元素的字符 ) 不同在这些操作系统之间移动索引文件时, 您必须确保使用的路径分隔符适用于希望移动 Splunk 安装到的操作系统您还必须确保更新任何 Splunk 配置文件 ( 尤其是 indexes.conf), 以便使用正确的路径分隔符 Windows 权限当在 Windows 服务器之间移动 Splunk Enterprise 服务器时, 确保目标服务器分配有与源服务器拥有相同的权限其中包括但不限于以下 : 架构更改确保目标服务器上的文件系统和 / 或共享权限正确, 并允许运行 Splunk Enterprise 的用户访问如果 Splunk Enterprise 以本地系统用户之外的身份运行, 则该用户是本地管理员组成员, 同时拥有组策略对象分配的适当本地安全策略或域策略权限分配如果降级 Splunk Enterprise 实例运行的架构 ( 例如,64 位至 32 位 ), 则可能因为 64 位操作系统和 Splunk Enterprise 实例创建的大型文件导出新服务器而降低性能分布式和群集 Splunk 环境当希望迁移分布式 Splunk 实例上的数据 ( 即, 作为服务器组一部分的索引器, 其搜索头配置为搜索事件, 或者搜索头配置为搜索索引器的数据 ), 则您应在尝试迁移之前, 删除分布式环境的实例数据桶 ID 和潜在数据桶冲突如果迁移 Splunk 实例到另一个已经拥有现有相同名称索引的 Splunk 实例, 则必须确保这些索引内的单个数据桶具有不冲突的数据桶 ID 如果遇到数据桶 ID 冲突的数据桶,Splunk 将不会启动当复制索引数据时, 您可能需要重命名复制的数据桶文件, 从而防止出现这种情况如何迁移要将 Splunk Enterprise 实例从一个系统迁移到另一个系统, 需遵守以下说明 : 1. 停止希望迁移服务器上的 Splunk Enterprise 2. 复制旧服务器中 $SPLUNK_HOME 目录的完整内容到新服务器 54

重要提示 : 当复制文件时, 请务必注意以上可能适用于您的任何注意事项 3. 安装适当版本的 Splunk Enterprise 到目标平台注意 : 在 *nix 系统上, 您可以提取直接通过复制文件下载的 tar 文件到新系统, 或使用软件包管理器以使用下载的软件包升级在 Windows 系统上, 安装程序将自动更新 Splunk 文件 4. 确认索引配置文件 (indexes.conf) 包含任何非默认索引的正确位置和路径规格 5. 在新实例上启动 Splunk Enterprise 注意 : 在 *nix 系统上,Splunk Enterprise 会检测您是否正在迁移并提示是否升级 6. 登录到 Splunk Enterprise 您可以使用现有凭据登录 7. 一旦登录, 通过搜索确认您的数据正确如何从一个服务器移动索引数据桶到另一个服务器如果停用 Splunk Enterprise 服务器, 并立即移动数据到另一个 Splunk 服务器, 则可在服务器之间移动索引的单个数据桶, 只要 : 源和目标系统具有相同的端序您未尝试恢复 4.2 或更高版本的 Splunk 版本创建的数据桶到 4.2 版之前的 Splunk 版本要从一个服务器移动数据桶到另一个服务器 : 1. 将源系统上的任何热数据桶从热滚动到温 2. 在目标系统上, 创建与源系统相同的索引注意 : 查看旧系统上的 indexes.conf, 获得该系统上的索引列表 3. 从源系统复制索引数据桶到目标系统注意 : 当复制单个数据桶文件时, 您必须确保新系统上没有数据桶 ID 冲突否则,Splunk Enterprise 将不会启动在从源系统移动到目标系统后, 您可能需要重命名单个数据桶目录 4. 重新启动 Splunk Enterprise 迁移到新的 Splunk Enterprise 许可证本主题介绍了如何将您的许可证配置从 4.2 之前的 Splunk Enterprise 部署迁移到 4.2+ 许可证模型注意 : 本主题不介绍整个 Splunk Enterprise 部署的升级在升级 Splunk Enterprise 部署之前, 请阅读安装手册中的如何升级 Splunk 在您继续之前, 您可能需要阅读这些主题 : 阅读管理员手册中的 Splunk 许可授权如何工作以获得有关 Splunk 许可授权的简介阅读管理员手册中的组堆叠池和其他术语以获得有关 Splunk 许可证术语的详细信息旧的许可证当您从旧的版本迁移时, 您最有可能属于以下两种类别之一 : 如果您目前在运行 Splunk Enterprise 4.0 或更新版本, 则您的许可证将在 4.2 和更新版本中正常工作如果您要从 4.0 之前的版本迁移, 则必须联系您的 Splunk 销售代表以安排新的许可证 Splunk 还建议您在迁移之前阅读迁移文档根据 Splunk 版本的新旧程度, 您可能需要以多个步骤迁移 ( 例如, 首先迁移到 4.0, 然后到 4.1 4.2, 最后是 5.0+) 以保留配置迁移搜索头如果您的搜索头以前使用旧的转发器许可证, 则会自动转换到 Download-trial 组中在您继续之前,Splunk 建议您将搜索头添加到已建立的 Enterprise 许可证池即使还没有索引量, 这仍会启用 Enterprise 功能, 尤其是告警和验证迁移独立实例如果您有一个 4.1.x Splunk Enterprise 索引器, 并且该索引器上已安装一个许可证, 则您可以按正常情况继续升级请遵循适用于您平台的安装手册中的说明, 并在迁移前确保阅读首先阅读此主题文档您的现有许可证将使用新的许可证, 并显示为有效的堆叠, 而索引器显示为默认池的成员 55

迁移分布式索引部署如果您有多个 4.1.x 索引器, 每个索引器都装有自己的许可证, 则按照以下高级步骤按顺序迁移部署 : 1. 将其中一个 Splunk Enterprise 实例指定为许可证主服务器如果您有搜索头, 会很有帮助 2. 遵循安装手册中的标准说明, 安装或升级已选择作为许可证主服务器的 Splunk Enterprise 实例 3. 根据需要配置许可证主服务器接受索引器的连接 4. 按照以下步骤, 依次逐个升级索引器 : 遵照安装手册中的指导说明, 将索引器升级到 5.0 它将作为独立主许可证服务器来运行, 直到您执行以下步骤复制一份索引器的 Enterprise 许可证文件的副本 (4.2 之前的许可证文件位于每个索引器上的 $SPLUNK_HOME/etc/splunk.license 中 ), 并将其安装到许可证主服务器上, 它应添加到您打算为其添加索引器的堆叠或池中将索引器配置为许可证从服务器, 并在许可证主服务器中指向它在许可证主服务器上, 导航到管理器 > 许可授权并查看与相应池关联的索引器列表, 以确认许可证从服务器已按预期连接在您确认许可证从服务器已按预期连接之后, 请按照相同的步骤, 继续升级下一个索引器迁移转发器如果您部署的是轻型转发器, 有关信息请查阅转发数据手册中的从轻型转发器迁移您可以将现有的轻型转发器升级为通用转发器, 通用转发器本身含有许可证, 因此无需配置许可授权如果您部署的是重型转发器 ( 完整 Splunk 实例在转发到另一个 Splunk Enterprise 实例之前执行索引操作 ), 则可以按索引器的方式来处理它 - 将其连同其他索引器一起添加到许可证池中卸载 Splunk Enterprise 卸载 Splunk Enterprise 本主题介绍了如何从您的系统删除 Splunk Enterprise 卸载之前, 停止 Splunk Enterprise 导航到 $SPLUNK_HOME/bin 并键入./splunk stop( 或仅在 Windows 上键入 splunk stop) 使用软件包管理实用工具卸载 Splunk Enterprise 使用您的本地软件包管理命令卸载 Splunk Enterprise 在大部分情况下, 之前未被软件包安装的文件将停用这些文件包括安装目录下的配置和索引文件注意 :$SPLUNK_HOME 指 Splunk 安装目录在 Windows, 这默认是 C:\Program Files\Splunk 对于大多数 Unix 平台, 默认安装目录为 /opt/splunk; 对于 Mac OS 则为 /Applications/splunk RedHat Linux 要卸载 RedHat 上的 Splunk Enterprise: rpm -e splunk_product_name Debian Linux 要卸载 Debian 上的 Splunk Enterprise: dpkg -r splunk 要清理 ( 删除所有内容, 包括配置文件 )Debian: dpkg -P splunk FreeBSD 要从 FreeBSD 的默认位置卸载 Splunk Enterprise: pkg_delete splunk 56

要从 FreeBSD 的不同位置卸载 Splunk Enterprise: pkg_delete -p /usr/splunk splunk Solaris 要卸载 Solaris 上的 Splunk Enterprise: pkgrm splunk HP-UX 要卸载 HP-UX 上的 Splunk Enterprise, 您必须停止 Splunk, 禁用开机时启动 ( 如果已配置 ), 然后删除 Splunk Enterprise 安装注意 :$SPLUNK_HOME 变量指您安装 Splunk Enterprise 的目录 1. 停止 Splunk Enterprise: $SPLUNK_HOME/bin/splunk stop 2. 如果启用了开机时启动, 作为 root 运行以下命令 : $SPLUNK_HOME/bin/splunk disable boot-start 3. 删除 Splunk 安装目录 : rm -rf $SPLUNK_HOME 可能希望删除的其他内容 : Windows 如果创建了任何索引, 同时未使用 Splunk Enterprise 默认路径, 则还必须删除这些目录如果为正在运行的 Splunk Enterprise 创建了用户或组, 您还应删除它们要卸载 Windows 上的 Splunk Enterprise: 使用控制面板中的添加或删除程序选项在 Windows 7 和 Windows Server 2008 中, 该选项在程序和功能下可用您还可以执行 Splunk Enterprise 安装程序软件包的 msiexec 可执行文件, 从命令行卸载 Splunk: C:\> msiexec /x splunk-<version>-x64.msi 注意 : 在一些情况下,Microsoft 安装程序可能在卸载流程期间显示重新启动提示您可以安全忽略本请求而不重新启动手动卸载 Splunk Enterprise 如果无法使用软件包管理命令, 使用这些说明以卸载 Splunk Enterprise 注意 : 这些说明将不会删除已经创建的任何 init 脚本 1. 停止 Splunk Enterprise $SPLUNK_HOME/bin/splunk stop 2. 查找并 kill 任何名称包含 "splunk" 的滞留进程对于 Linux 和 Solaris: kill -9 `ps -ef grep splunk grep -v grep awk '{print $2;}'` 对于 FreeBSD 和 Mac OS kill -9 `ps ax grep splunk grep -v grep awk '{print $1;}'` 3. 删除 Splunk Enterprise 安装目录 $SPLUNK_HOME 例如 : 57

rm -rf /opt/splunk 注意 : 对于 Mac OS, 您还可以拖动文件夹到回收站以删除安装目录 3. 删除顶级目录之外的任何 Splunk Enterprise 数据存储区或索引 rm -rf /opt/splunkdata 4. 删除 splunk 用户和组 ( 如果存在 ) 对于 Linux Solaris 和 FreeBSD: userdel splunk groupdel splunk 对于 Mac OS: 您可以使用系统首选项 > 帐户面板管理用户和组对于 Windows: 打开命令提示符并对您安装的 msi 软件包运行命令 msiexec /x 参考 PGP 公共密钥本主题包括 PGP 公共密钥和安装说明也可使用 HTTPS 下载文件 -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.1 (GNU/Linux) mqgibebe21qrbademonuxcv2kq2oxsjtjyxrycwcth5/onmhk5lt2tqae9quts+w nm3svinqqwrwbdh2qshgqjjs0pie867n+lvuk0gsvzs5solyzqjnsrisvyn452mf 2PgetHq8Lb884cPJnxR6xoFTHqOQueKEOXCovz1eVrjrjfpnmWKa/+5X8wCg/CJ7 pt7oxhfn4xosevqabetebwceaiuaazf2i2x9qdj+6twtalx2oqaquqtbzjx5qahn OyRdBEU2g4ndiE3QAKybuq5f0UM7GXqdllihVUBatqafySfjlTBaMVzd4ttrDRpq Wya4ppPMIWcnFG2CXf4+HuyTPgj2cry2oMBm2LMfGhxcqM5mpoyHqUiCn7591Ra/ J2/FA/0c2UAUh/eSiOn89I6FhFOicT5RPtRpxMoEM1Di15zJ7EXY+xBVF9rutqhR 5OI9kdHibYTwf4qjOOPOA7237N1by9GiXY/8s+rDWmSNKZB+xAaLyl7cDhYMv7CP qftutve8bxtsf0mgruzihfjqe2quuxkjfs9lksfguzhvruwrcrqgs2ltifdhbgxh Y2UgPHJlbGVhc2VAc3BsdW5rLmNvbT6IXgQTEQIAHgUCRsTbVAIbAwYLCQgHAwID FQIDAxYCAQIeAQIXgAAKCRApYLH9ZT+xEhsPAKDimP8sdCr2ecPm8mre/8TK3Bha pqcg3/xeickirkklpknysunlr/zbh3m5ag0erstbbraiaidfwiobecj8bqrctxxm 6MMvdEkjdJCr4xmwaQpYmS4JKK/hJFfpyS8XUgHjBz/7zfR8Ipr2CU59Fy4vb5oU HeOecK9ag5JFdG2i/VWH/vEJAMCkbN/6aWwhHt992PUZC7EHQ5ufRdxGGap8SPZT iiky0orx6km6usovwmtyknm/v7my8dj2f46yj7wibf7arg/vomog1cbn7pcwcatg johgjdpxrjuezzp3aflic3t5iq5n5fylgaopt7oirom5akgbvlfj+cjkagd5uzw7 SO0akWhTbVHSCDJoZAGJrvJs5DHcEnCjVy9AJxTNMs9GOwWaixfyQ7jgMNWKHJp+ EyMAAwYH/RLNK0HHVSByPWnS2t5sXedIGAgm0fTHhVUCWQxN3knDIRMdkqDTnDKd qcqyfseljazi2kx1zlwdugmvu+zb8fch90ej8o6jdflkjaq50/i/oy0+/+drbzjg 3oKu/CK2NH2VnK1KLzAYnd2wZQAEja4O1CBV0hgutVf/ZxzDUAr/XqPHy5+EYg96 4Xz0PdZiZKOhJ5g4QjhhOL3jQwcBuyFbJADw8+Tsk8RJqZvHfuwPouVU+8F2vLJK if2hbkoujvdh5gffuk6o5v8nnir7xsrvj4abfp4xa6rvum3htwod7t//75glcw77 kxdr8pmmnddm5vxnauk+gtpgacj98+eisqqyeqiacqucrstbbqibdaakcrapylh9 ZT+xEiVuAJ9INUCilkgXSNu9p27zxTZh1kL04QCg6YfWldq/MWPCwa1PgiHrVJng p4s= =Mz6T -----END PGP PUBLIC KEY BLOCK----- 安装密钥 1. 将密钥复制和粘贴到一个文件中, 或使用 HTTPS 下载文件 2. 使用以下安装密钥 : rpm --import <filename> 58