快好知 kuaihz

splunk命令行操作以及相关信息

OU=xdf_users OU=xindongfang DC=yunjm DC=contoso DC=com  用户

OU=xindongfang DC=yunjm DC=contoso DC=com 组

**

*

*磁盘中VM

********************

=======================================================================================

Splunk-Master   inet addr:192.168.154.140  Bcast:192.168.154.255  Mask:255.255.255.0

Splunk-Index-01 inet addr:192.168.154.141  Bcast:192.168.154.255  Mask:255.255.255.0

Splunk-Index-02 inet addr:192.168.154.142  Bcast:192.168.154.255  Mask:255.255.255.0

Splunk-Index-03 inet addr:192.168.154.143  Bcast:192.168.154.255  Mask:255.255.255.0

=======================================================================================

****

*

*搭建Splunk环境的命令

***********************

#################################################################################################

CentOS 6.5

vim /etc/sysconfig/network

vim /etc/hosts

service iptables stop

chkconfig iptables off

CentOS 7

hostnamectl set-hostname Splunk-forword  修改主机名

1、关闭firewall:

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running)

2、iptables防火墙(这里iptables已经安装,下面进行配置

vi/etc/sysconfig/iptables #编辑防火墙配置文件

# sampleconfiguration for iptables service

# you can edit thismanually or use system-config-firewall

# please do not askus to add additional ports/services to this default configuration

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT[0:0]

:OUTPUT ACCEPT[0:0]

-A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -jACCEPT

-A INPUT -i lo -jACCEPT

-A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT

-A INPUT -j REJECT--reject-with icmp-host-prohibited

-A FORWARD -jREJECT --reject-with icmp-host-prohibited

COMMIT

:wq! #保存退出

#################################################################################################

*

*SPLUNLK

*********************

ls -l splunk*

tar zxvf splunk-* - Linux -*.tgz -C /opt 安装splunk

cd /opt/splunk/bin

./splunk start --accept-license

http8000web端口 8089管理端口 mgmt

http://myalfresco.fulan:8000

默认账户是:admin

默认密码是:cangeme

首次登录需要改密码

防火墙:service iptables status

        splunk 开机自启动 ./splunk enable boot-start

卸载 splunk Enterprise

splunk disable boot-start禁用自启动

splunk stop 

rm -rf/opt/splunk

卸载要慎重, 注意数据备份

****

*

*卸载

****************

$SPLUNK_HOME/bin/splunk stop

Find and kill any lingering processes that contain "splunk" in their name.

For Linux

For Mac OS

Remove the Splunk Enterprise installation directory, $SPLUNK_HOME.

rm -rf /Applications/splunk

###################################################################################################

**

*

*安装 splunk Universal Forwarder

***************************************

tar xzvf splunkforwarder—*.tgz -C /opt

/opt/splunkforwarder/bin/splunk start --accept-license

/opt/splunkforwarder/bin/splunk enable boot-start

会出现一个端口冲突的问题 :8090

重新设置端口

./splunk show splunkd-port

./splunk set splunkd-port 8091

修改密码:

-role admin -auth admin:changeme

**

*

*windows DOS命令

*******************************

         net start splunk

         net stop  splunk

./splunk show splunkd-port

./splunk show web-port

=======================================================

**

*

*归档路径

***********************

################################################################

cd /opt/splunk/var/lib/splunk/

cd /opt/splunk/etc/apps/要归档的索引/local

cd /opt/splunk/etc/apps/search/local

################################################################

*******************

*

*归档配置参数

*21600 一天

*648000一个月

*188697600 6年

①归档的保存周期(天数配置参数)

②冻结归档路径命令

***************************************

###################################################################################################

①frozenTimePeriodInSecs = 21600

②coldToFrozenDir =

###################################################################################################

**********************

*history 查看历史操作*

*解冻命令            *

**********************

##################################################################################################

cp -rf db_1515994584_1515990961_0/opt/splunk/var/lib/splunk/解冻的索引/thaweddb/                 #

cd /opt/splunk/var/lib/splunk/要解冻的索引/thaweddb                                              #

../thaweddb/ls | xargs -i /opt/splunk/bin/splunk rebuild {}                                      #

################################################################

**

*

*常用目录

*******************

#######################################################################################################################

主目录

$Splunk_Home/bin   #主要脚本目录

$Splunk_Home/etc   #主要配置目录

$Splunk_Home/var   #主要日志目录和数据目录

常用目录

$Splunk_Home/etc/system/               #系统常用配置目录

$Splunk_Home/etc/users                 #用户角色及用户配置目录

$Splunk_Home/etc/apps                  #应用目录

$Splunk_Home/etc/deployment-apps       #客户端应用推送目录

$Splunk_Home/etc/master-apps           #索引推送目录

$Splunk_Home/etc/shcluster             #搜索头应用推送目录

注意事项

$Splunk_Home/etc/system/default    --它是Splunk自带的默认配置文件,不要编辑此目录下文件,因为每次跟新系统时它们将被重写。

$Splunk_Home/etc/system/local      --全局配置文件

###########################################################################################################################

**

*

*常用命令

*******************

###########################################################################################################################

./splunk show splunkd-port

./splunk set splunkd-port 8091  重新设置端口

修改密码:

-role admin -auth admin:changeme

常用命令

启动splunk start

关闭splunk stop

重启splunk restart

查看状态:splunk status

查看版本:splunk version

查看进程:ps -ef |grep splunk

service iptables status  状态

en_US 英文

zh_CN 中文

################################################################

***************************************************************************************

*cd /opt/splunk/bin

*ll

*deployment -apps

*ls

* 要是配置splunkForwarder 会变成重量转发器

* splunkLInghtForwarder 是轻量转发器

* splunk management consol 管理

* cat indexes.conf

*****************************************

*default  vs local                       *

*                                        *

*default 目录是splunk自带的目录          *

*自定义的配置都要放在local目录下         *

*千万不要直接修改default目录下的文件     *

*升级default目录会被覆盖,local目录则不会*

******************************************

配置端口号

查看端口号

 splunk show splunkd-port

 splunk show web-port

修改端口

 splunk set splunkd-port

 splunk set web-port

服务器配置命令

 splunk set servername  mysplunk1

 splunk set default-hostname myhost1

 splunk enable  web-ssl

 splunk disable web-ssl

修改用户密码

  splunk add user //新增用户

  splunk list user //列出用户

  splunk remove user // 删除用户

**

*

*索引操作

****************

   splunk list index 列出所有索引

   splunk add index//添加索引

   splunk remove  index//删除索引

   splunk enable  index//启用索引

   splunk disable index//禁用索引

   splunk reload  index//重新加载索引

例如:

   splunk add index myindex01

   splunk disable index myindex01

**

*

*启用监听端口

***************

   splunk enable listen 9997

   splunk disable lsitisten 9997

   splunk display listen  

**

*

*splunk show 命令

******************

Splunk show web-port

Splunk show splunkd-port

Splunk show defaule-hostname

Splunk show servername

Splunk show datastore-dir

**

*

*转发器常用命令

******************

################################################################

   splunk remove monitor//删除监控项

   splunk list monitor //列出监控项

   splunk add forward-server 192.168.1.113:9997//添加转发服务器

   splunk remove forward-server 192.168.1.113:9997//删除

   splunk list forward-server //列出转发服务器

./splunk add monitor /var/log/audit.log -index main 

*****

*splunk help 命令

*******************

   splunk help

   splunk help commands

   splunk help index

   splunk help monitor

   splunk help show

   splunk help forward-server

   splunk help set

################################################################

################################################################

①同意默认的

②选择一个安装位置

③公司有相应的证书进行加载公司的证书

在填入密码

④有两个选择 第一个是 本地用户  第二个*是用户

由于视频安装的本地的所以选择 本地用户

⑤第一个是是否采集本地win系统的事件 这里视屏全选

第二个是 是否采集win性能的数据

第三个是否监控一些本地的文件

⑥一个是默认的安装版本  还可以选择其他版本 进行安装:

⑦部署服务器 在这里没做详细的分析

⑧这里配置是本地locahost 端口是9997 默认是9997 也可以设置其他

⑨在web页面里点设置---转发与接收

接收数据里面选择新增  设置为9997  这里面设置完不需要

重新启动splunk

⑩查看接收端口splunk display listen

账号 密码  会展示 端口号“例如:9997”

在添加一个 在crl命令进行

splunk enable listen 9998

系统自动检测 自动修改端口

端口号: 查询:

cd 安装splunkUF文件bin目录下 splunk show splunk-port

账号admin 密码 changeme 会展示 端口号“例如:“8090”

修改密码 : splunk edit user admin password

################################################################

配置splunk服务器名称

设置-》服务器设置-》常规设置

默认是服务器主机名

也可以通过命令行修改

splunk set servername myname1

修改后需要重启 restart

修改主机host名称

通过web页面可以修改

cli命令行为:./splunk set default

-hostname mysplunkserver

splunk Web 启用SSL(HTTPS)

在splunk Cli命令

splunk enable  web-ssl //启动ssl

splunk disable web-ssl   //禁用ssl

重启后 splunk web

例如:https://192.168.1.113:8000

修改默认索引位置

默认索引位置:/opt/splunk/var/lib/splunk/

mkdir/foo/splunk/ //非root用户请更改

目录所有者(chown)

splunk stop 

cp -rp /opt/splunk/var/lib/splunk/*/foo/splunk/

vi/opt/splunk/etc/splunk-launch.conf

SPLUNLK_DB=/foo/splunk

splunk start

cd ../var/lib/splunk/

pwd

带_的是内部索引

main.dat是默认索引

查看索引 ./splunk list index

配置接收端口

splunk Enterprise 与 Universal Forwarder

之间的接收端口默认为TCP9997

设置-》 转发与接收-》配置接收,新增9997

通过splunk CLi 命令

splunk enable listen 9997

无需重启

创建索引

索引: 被索引的数据存储在索引(index)中

类似于database

设置->索引

默认为main

在splunk web 中创建/删除索引

通过splunk CLi创建索引

splunk addindex myindex1

splunk remove index myindex1

./splunk init shcluster-config -auth admin:admin -mgmt_uri https://192.168.2.43:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.102:8089 -secret admin

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.114:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.130:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.145:8089" -auth admin:admin

./splunk show shcluster-status -auth admin:1234.com

**

*关闭防火墙

*****************

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running)

################################################################

**

*./splunk enable boot-start

 splunk disable boot-start

*entos7的网卡重启方法

***************************

1、centos6的网卡重启方法:service network restart

centos7的网卡重启方法:systemctl restart network

nmtui

2、DNS配置文件:cat /etc/resolv.conf

设置主机和IP绑定信息:cat /etc/hosts

设置主机名:cat /etc/hostname

3、可以使用nmtui文本框方式修改IP

4、关闭防火墙并设置开机不启动

查看防火墙状态:systemctl status firewalld.service

关闭:systemctl stop firewalld

开启:systemctl start firewalld

开机自动关闭:systemctl disable firewalld

开机自动启动:systemctl enable firewalld

查看开机是否启动:chkconfig --list|grep network(RHLE6)

图形化

yum groupinstall "GNOME Desktop" "Graphical Administration Tools"

################################################################

[shclustering

_internal

server.conf

find -name "server.conf" 找指定的文件

--accept-license

mstsc 远程连接

*history

frozenTimePeriodInSecs=    归档的保存周期(天数配置参数)

21600 一天

648000一个月

188697600 6年

coldToFrozenDir=     冻结归档路径命令

cd var/lib/splunk/eucp/tempdb 

ls | xargs -i /var/opt/splunk/bin/splunk rebuild  {}"

./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.136:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.114:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.130:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

$Splunk_Home/bin 下发App./splunk apply shcluster-bundle -target https://192.168.2.136:8089  -auth admin:1234.com

./splunk apply shcluster-bundle -target https://192.168.2.147:8089  -auth admin:1234.com

配置search管理员./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.130:8089,https://192.168.2.114:8089" -auth admin:admin

[deployment-client]

disabled = 0

phoneHomeIntervalInSecs = 20

[target-broker:deploymentServer]

targetUri = 192.168.2.100:8089

**

*Splunk-search群集搭建命令

*

*********************

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.147:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.148:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.149:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

重启后再制定管理员

**

*配置search管理员

********************

./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.148:8089,https://192.168.2.149:8089" -auth admin:1234.com

[monitor://E:YJMyunjm.log]

index=bm

sourcetype = all

disabled = 0

whitelist =

blacklist =

[tcpout]

defaultGroup = default-autolb-group

[tcpout:default-autolb-group]

server = 192.168.2.135:9997,192.168.2.106:9997,192.168.2.101:9997,192.168.2.107:9997

[tcpout-server://192.168.2.135:9997]

[tcpout-server://192.168.2.106:9997]

[tcpout-server://192.168.2.101:9997]

[tcpout-server://192.168.2.107:9997]

Props.conf

[all]

CHARSET = CSGB2312

DATETIME_CONFIG =

NO_BINARY_CHECK = true

category = Custom

disabled = false

pulldown_type = true

非root下

创建foo/splunk

配置

vi opt/splunk/etc/splunk-launch.conf

SPLUNK_DB=/foo/splunk

reindex

重新索引所有数据(删除索之前的索引) 开始执行以下命令

splunk clean eventdata -index_thefishbucket

选择性重新索引某个文件

splunk cmd btprobe -d

$SPLUNK_HOME /var/lib/splunk/fishbucket/splunk_private_db --file $FIE --reset

转发过来的数据 要把转发器上的索引 和 已转过去的索引 删除在执行以上命令

./splunk check-integrity -bucketPath [ bucket path ] [ verbose ]

./splunk check-integrity -index [ index name ] [ verbose ]

indexes.conf下配置

enableDataIntegrityControl=true

rawChunkSizeBytes = 131072

./splunk generate-hash-files -bucketPath

[ bucket path ] [ verbose ]

./splunk generate-hash-files -index

[ index name ] [ verbose ]

本站资源来自互联网,仅供学习,如有侵权,请通知删除,敬请谅解!
搜索建议:命令  命令词条  以及  以及词条  操作  操作词条  相关  相关词条  splunk  splunk词条