스플렁크 유니버셜 포워더 설치
페이지 정보
본문
Universal_Forwarder(Linux)
1. Download
https://www.splunk.com/en_us/download/universal-forwarder.html
2. Download File
2.1 splunkforwarder-8.0.1-6db836e2fb9e-Linux-x86_64.tgz
3. Install
3.1 tar -xvf splunkforwarder-8.0.1-6db836e2fb9e-Linux-x86_64.tgz
4. Universal Forwarder 데이터 전달방법
Splunk Enterprise 수신기의 호스트명 또는 IP 주소 지정
4.1 host : 데이터를 수신할 스플렁크 엔터프라이즈 호스트명 또는 IP
4.2 port : 활성화된 스플렁크 엔터프라이즈에서 설정한 TCP 포트
4.3 Command : ./splunk add forward-server <hostname or ip>:<port>
5. 수신기 활성화
Splunk 인스턴스에서 수신을 활성화하면 포워더에서 전송된 데이터를 수신
전달과 수신을 활성화하려면 “수신기”와 “포워더”를 모두 설정
수신기는 데이터를 수신하는 Splunk 인스턴스이며, 포워더는 데이터를 수신기로 전달
5.1 포워더에서 여러 수신기로 데이터를 전달
5.2 Splunk에서는 “수신기”를 먼저 설정한 후 해당 수신기로 데이터를 보낼 “포워더”를설정하는 방법을 권장
5.3 “수신기”는 포트 “9997”에서 포워더의 연결을 대기
6. 수신설정
6.1 설정 > 전달 및 수신
6.2 수신 설정 > 새로 추가
6.3 수신포트 지정 default : 9997
6.4 CLI를 통한 수신포트 지정
1) ./splunk enable listen <port> -auth <host>:<port>
2) ./splunk enable listen 9997 -auth admin:oss13579
7. Universal Forwarder 작업
유니버셜 포워더 서비스 등록 후 실행 및 데이터를 전달할 인덱서 정보를 등록하고 확인한다.
모니터링할 로그들을 등록하고 인덱서에서 로그가 수집되는지 확인한다.
7.1 유니버셜 포워더 서비스 등록
7.2 ./splunk enable boot-start -systemd-managed 1 -systemd-unit-file-name ufsplunk -user splunk1
7.3 스탠자 (의미는 서로 동일)
[splunktcp://9997] 또는 [splunktcp://:9997]
8. 데이터 전달
CLI 또는 스탠자를 편집하여 로그파일을 지정하여 인덱서에 전달한다.
8.1 CLI
./splunk add monitor $LOG_PATH/$LOG_FILE
8.2 모니터할 파일 등록 시 수정된 파일
$SPLUNK_HOME/etc/apps/search/local/inputs.conf
8.3 inputs.conf 파일이 수정되는 위치
모니터링할 파일을 등록할 때 스플렁크의 어떤 앱이 실행됐느냐에 따라 inputs.conf 파일이 수정되는
위치가 달라진다.
1) find ./* -name $SPLUNK_HOME/etc
2) 스플렁크 콘솔에서 모니터링 파일 등록 시 ‘./apps/search/local/inputs.conf’ 파일이 수정된다.
8.4 모니터링 파일 inputs.conf 파일 편집하여 등록
[monitor:///home/splunk1/tomcat9/logs/catalina.out]
disabled = false
sourcetype = catalina.out
- 이전글스플렁크앱(이벤트젠) 22.04.15
- 다음글리눅스에 스플렁크 설치 22.04.13
댓글목록
최고관리자님의 댓글
최고관리자 작성일좋은글 감사합니다. ^^