splunk命令行操作以及相关信息_综合_软件

OU=xdf_users OU=xindongfang DC=yunjm DC=contoso DC=com 用户

OU=xindongfang DC=yunjm DC=contoso DC=com 组

*磁盘中VM

********************

=======================================================================================

Splunk-Master inet addr:192.168.154.140 Bcast:192.168.154.255 Mask:255.255.255.0

Splunk-Index-01 inet addr:192.168.154.141 Bcast:192.168.154.255 Mask:255.255.255.0

Splunk-Index-02 inet addr:192.168.154.142 Bcast:192.168.154.255 Mask:255.255.255.0

Splunk-Index-03 inet addr:192.168.154.143 Bcast:192.168.154.255 Mask:255.255.255.0

=======================================================================================

****

*搭建Splunk环境的命令

***********************

#################################################################################################

CentOS 6.5

vim /etc/sysconfig/network

vim /etc/hosts

service iptables stop

chkconfig iptables off

CentOS 7

hostnamectl set-hostname Splunk-forword 修改主机名

1、关闭firewall：

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

firewall-cmd --state #查看默认防火墙状态（关闭后显示notrunning，开启后显示running）

2、iptables防火墙（这里iptables已经安装，下面进行配置）

vi/etc/sysconfig/iptables #编辑防火墙配置文件

# sampleconfiguration for iptables service

# you can edit thismanually or use system-config-firewall

# please do not askus to add additional ports/services to this default configuration

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT[0:0]

:OUTPUT ACCEPT[0:0]

-A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -jACCEPT

-A INPUT -i lo -jACCEPT

-A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT

-A INPUT -j REJECT--reject-with icmp-host-prohibited

-A FORWARD -jREJECT --reject-with icmp-host-prohibited

COMMIT

:wq! #保存退出

#################################################################################################

*SPLUNLK

*********************

ls -l splunk*

tar zxvf splunk-* - Linux -*.tgz -C /opt 安装splunk

cd /opt/splunk/bin

./splunk start --accept-license

http8000web端口 8089管理端口 mgmt

http：//myalfresco.fulan：8000

默认账户是：admin

默认密码是：cangeme

首次登录需要改密码

防火墙:service iptables status

splunk 开机自启动 ./splunk enable boot-start

卸载 splunk Enterprise

splunk disable boot-start禁用自启动

splunk stop

rm -rf/opt/splunk

卸载要慎重，注意数据备份

****

*卸载

****************

$SPLUNK_HOME/bin/splunk stop

Find and kill any lingering processes that contain "splunk" in their name.

For Linux

For Mac OS

Remove the Splunk Enterprise installation directory, $SPLUNK_HOME.

rm -rf /Applications/splunk

###################################################################################################

*安装 splunk Universal Forwarder

***************************************

tar xzvf splunkforwarder—*.tgz -C /opt

/opt/splunkforwarder/bin/splunk start --accept-license

/opt/splunkforwarder/bin/splunk enable boot-start

会出现一个端口冲突的问题 :8090

重新设置端口

./splunk show splunkd-port

./splunk set splunkd-port 8091

修改密码：

-role admin -auth admin:changeme

*windows DOS命令

*******************************

net start splunk

net stop splunk

./splunk show splunkd-port

./splunk show web-port

=======================================================

*归档路径

***********************

################################################################

cd /opt/splunk/var/lib/splunk/

cd /opt/splunk/etc/apps/要归档的索引/local

cd /opt/splunk/etc/apps/search/local

################################################################

*******************

*归档配置参数

*21600 一天

*648000一个月

*188697600 6年

①归档的保存周期（天数配置参数）

②冻结归档路径命令

***************************************

###################################################################################################

①frozenTimePeriodInSecs = 21600

②coldToFrozenDir =

###################################################################################################

**********************

*history 查看历史操作*

*解冻命令 *

**********************

##################################################################################################

cp -rf db_1515994584_1515990961_0/opt/splunk/var/lib/splunk/解冻的索引/thaweddb/ #

cd /opt/splunk/var/lib/splunk/要解冻的索引/thaweddb #

../thaweddb/ls | xargs -i /opt/splunk/bin/splunk rebuild {} #

################################################################

*常用目录

*******************

#######################################################################################################################

主目录

$Splunk_Home/bin #主要脚本目录

$Splunk_Home/etc #主要配置目录

$Splunk_Home/var #主要日志目录和数据目录

常用目录

$Splunk_Home/etc/system/ #系统常用配置目录

$Splunk_Home/etc/users #用户角色及用户配置目录

$Splunk_Home/etc/apps #应用目录

$Splunk_Home/etc/deployment-apps #客户端应用推送目录

$Splunk_Home/etc/master-apps #索引推送目录

$Splunk_Home/etc/shcluster #搜索头应用推送目录

注意事项

$Splunk_Home/etc/system/default --它是Splunk自带的默认配置文件，不要编辑此目录下文件，因为每次跟新系统时它们将被重写。

$Splunk_Home/etc/system/local --全局配置文件

###########################################################################################################################

*常用命令

*******************

###########################################################################################################################

./splunk show splunkd-port

./splunk set splunkd-port 8091 重新设置端口

修改密码：

-role admin -auth admin:changeme

常用命令

启动splunk start

关闭splunk stop

重启splunk restart

查看状态：splunk status

查看版本：splunk version

查看进程：ps -ef |grep splunk

service iptables status 状态

en_US 英文

zh_CN 中文

################################################################

***************************************************************************************

*cd /opt/splunk/bin

*ll

*deployment -apps

*ls

* 要是配置splunkForwarder 会变成重量转发器

* splunkLInghtForwarder 是轻量转发器

* splunk management consol 管理

* cat indexes.conf

*****************************************

*default vs local *

* *

*default 目录是splunk自带的目录 *

*自定义的配置都要放在local目录下 *

*千万不要直接修改default目录下的文件 *

*升级default目录会被覆盖，local目录则不会*

******************************************

配置端口号

查看端口号

splunk show splunkd-port

splunk show web-port

修改端口

splunk set splunkd-port

splunk set web-port

服务器配置命令

splunk set servername mysplunk1

splunk set default-hostname myhost1

splunk enable web-ssl

splunk disable web-ssl

修改用户密码

splunk add user //新增用户

splunk list user //列出用户

splunk remove user // 删除用户

*索引操作

****************

splunk list index 列出所有索引

splunk add index//添加索引

splunk remove index//删除索引

splunk enable index//启用索引

splunk disable index//禁用索引

splunk reload index//重新加载索引

例如：

splunk add index myindex01

splunk disable index myindex01

*启用监听端口

***************

splunk enable listen 9997

splunk disable lsitisten 9997

splunk display listen

*splunk show 命令

******************

Splunk show web-port

Splunk show splunkd-port

Splunk show defaule-hostname

Splunk show servername

Splunk show datastore-dir

*转发器常用命令

******************

################################################################

splunk remove monitor//删除监控项

splunk list monitor //列出监控项

splunk add forward-server 192.168.1.113:9997//添加转发服务器

splunk remove forward-server 192.168.1.113:9997//删除

splunk list forward-server //列出转发服务器

./splunk add monitor /var/log/audit.log -index main

*****

*splunk help 命令

*******************

splunk help

splunk help commands

splunk help index

splunk help monitor

splunk help show

splunk help forward-server

splunk help set

################################################################

①同意默认的

②选择一个安装位置

③公司有相应的证书进行加载公司的证书

在填入密码

④有两个选择第一个是本地用户第二个*是用户

由于视频安装的本地的所以选择本地用户

⑤第一个是是否采集本地win系统的事件这里视屏全选

第二个是是否采集win性能的数据

第三个是否监控一些本地的文件

⑥一个是默认的安装版本还可以选择其他版本进行安装：

⑦部署服务器在这里没做详细的分析

⑧这里配置是本地locahost 端口是9997 默认是9997 也可以设置其他

⑨在web页面里点设置---转发与接收

接收数据里面选择新增设置为9997 这里面设置完不需要

重新启动splunk

⑩查看接收端口splunk display listen

账号密码会展示端口号“例如：9997”

在添加一个在crl命令进行

splunk enable listen 9998

系统自动检测自动修改端口

端口号：查询：

cd 安装splunkUF文件bin目录下 splunk show splunk-port

账号admin 密码 changeme 会展示端口号“例如：“8090”

修改密码： splunk edit user admin password

################################################################

配置splunk服务器名称

设置-》服务器设置-》常规设置

默认是服务器主机名

也可以通过命令行修改

splunk set servername myname1

修改后需要重启 restart

修改主机host名称

通过web页面可以修改

cli命令行为：./splunk set default

-hostname mysplunkserver

splunk Web 启用SSL（HTTPS）

在splunk Cli命令

splunk enable web-ssl //启动ssl

splunk disable web-ssl //禁用ssl

重启后 splunk web

例如：https://192.168.1.113:8000

修改默认索引位置

默认索引位置：/opt/splunk/var/lib/splunk/

mkdir/foo/splunk/ //非root用户请更改

目录所有者（chown）

splunk stop

cp -rp /opt/splunk/var/lib/splunk/*/foo/splunk/

vi/opt/splunk/etc/splunk-launch.conf

SPLUNLK_DB=/foo/splunk

splunk start

cd ../var/lib/splunk/

pwd

带_的是内部索引

main.dat是默认索引

查看索引 ./splunk list index

配置接收端口

splunk Enterprise 与 Universal Forwarder

之间的接收端口默认为TCP9997

设置-》转发与接收-》配置接收，新增9997

通过splunk CLi 命令

splunk enable listen 9997

无需重启

创建索引

索引：被索引的数据存储在索引（index）中

类似于database

设置->索引：

默认为main

在splunk web 中创建/删除索引

通过splunk CLi创建索引

splunk addindex myindex1

splunk remove index myindex1

./splunk init shcluster-config -auth admin:admin -mgmt_uri https://192.168.2.43:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.102:8089 -secret admin

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.114:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.130:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.145:8089" -auth admin:admin

./splunk show shcluster-status -auth admin:1234.com

*关闭防火墙

*****************

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

firewall-cmd --state #查看默认防火墙状态（关闭后显示notrunning，开启后显示running）

################################################################

*./splunk enable boot-start

splunk disable boot-start

*entos7的网卡重启方法

***************************

1、centos6的网卡重启方法：service network restart

centos7的网卡重启方法：systemctl restart network

nmtui

2、DNS配置文件：cat /etc/resolv.conf

设置主机和IP绑定信息：cat /etc/hosts

设置主机名：cat /etc/hostname

3、可以使用nmtui文本框方式修改IP

4、关闭防火墙并设置开机不启动

查看防火墙状态：systemctl status firewalld.service

关闭：systemctl stop firewalld

开启：systemctl start firewalld

开机自动关闭：systemctl disable firewalld

开机自动启动：systemctl enable firewalld

查看开机是否启动：chkconfig --list|grep network(RHLE6)

图形化

yum groupinstall "GNOME Desktop" "Graphical Administration Tools"

################################################################

[shclustering

_internal

server.conf

find -name "server.conf" 找指定的文件

--accept-license

mstsc 远程连接

*history

frozenTimePeriodInSecs= 归档的保存周期（天数配置参数）

21600 一天

648000一个月

188697600 6年

coldToFrozenDir= 冻结归档路径命令

cd var/lib/splunk/eucp/tempdb

ls | xargs -i /var/opt/splunk/bin/splunk rebuild {}"

./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.136:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.114:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.130:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

$Splunk_Home/bin 下发App./splunk apply shcluster-bundle -target https://192.168.2.136:8089 -auth admin:1234.com

./splunk apply shcluster-bundle -target https://192.168.2.147:8089 -auth admin:1234.com

配置search管理员./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.130:8089,https://192.168.2.114:8089" -auth admin:admin

[deployment-client]

disabled = 0

phoneHomeIntervalInSecs = 20

[target-broker:deploymentServer]

targetUri = 192.168.2.100:8089

*Splunk-search群集搭建命令

*********************

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.147:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.148:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.149:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

重启后再制定管理员

*配置search管理员

********************

./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.148:8089,https://192.168.2.149:8089" -auth admin:1234.com

[monitor://E:YJMyunjm.log]

index=bm

sourcetype = all

disabled = 0

whitelist =

blacklist =

[tcpout]

defaultGroup = default-autolb-group

[tcpout:default-autolb-group]

server = 192.168.2.135:9997,192.168.2.106:9997,192.168.2.101:9997,192.168.2.107:9997

[tcpout-server://192.168.2.135:9997]

[tcpout-server://192.168.2.106:9997]

[tcpout-server://192.168.2.101:9997]

[tcpout-server://192.168.2.107:9997]

Props.conf

[all]

CHARSET = CSGB2312

DATETIME_CONFIG =

NO_BINARY_CHECK = true

category = Custom

disabled = false

pulldown_type = true

非root下

创建foo/splunk

配置：

vi opt/splunk/etc/splunk-launch.conf

SPLUNK_DB=/foo/splunk

reindex

重新索引所有数据（删除索之前的索引）开始执行以下命令

splunk clean eventdata -index_thefishbucket

选择性重新索引某个文件

splunk cmd btprobe -d

$SPLUNK_HOME /var/lib/splunk/fishbucket/splunk_private_db --file $FIE --reset

转发过来的数据要把转发器上的索引和已转过去的索引删除在执行以上命令

./splunk check-integrity -bucketPath [ bucket path ] [ verbose ]

./splunk check-integrity -index [ index name ] [ verbose ]

indexes.conf下配置：

enableDataIntegrityControl=true

rawChunkSizeBytes = 131072

./splunk generate-hash-files -bucketPath

[ bucket path ] [ verbose ]

./splunk generate-hash-files -index

[ index name ] [ verbose ]

快好知 kuaihz

splunk命令行操作以及相关信息

如何解锁马里奥赛车Wii里的人物

对不起，这个20小时学习编程的方...

360图书馆如何查看原创的质量分...

最新