一、部署服务下发
当要收集相同业务系统多数据节点的数据时,通过部署服务器下发配置文件是一个不错的选择。
1、配置deployment_client
该配置用于和DeploymentServer建立连接,以便DeploymentServer推送配置文件(主要是监控日志的配置文件)给Client端
配置方法:
Ø 在客户端(即Forwaders)的$Splunk_Home/etc/system/local的目录下,新建deploymentclient.conf 配置文件,用来配置与Deployment Server直接的连接
Ø 配置信息如下:
[deployment-client]
disabled = 0 #0为启用 1为禁用
phoneHomeIntervalInSecs = 20 #检查服务器上配置文件的更新间隔20S
[target-broker:deploymentServer]
targetUri = MasterNode:8089 #配置和Deployment Server连接信息及端口
2、应用推送
Ø 应用下发路径:
$Splunk_Home/etc/deployment-apps
Ø 以下发应用的目录结构为例:
文件目录结构:
Splunk_TA_*/local/app.conf #应用配置文件
Splunk_TA_*/local/inputs.conf #采集配置文件
Splunk_TA_*/local/outputs.conf #转发配置文件
Splunk_TA_*/local/props.conf #数据类型自定义配置文件
# 说明:Splunk_TA_*为示例可以自定义
Ø 主要配置文件:
Inputs.conf
样例:
[monitor://] #监控的文件目录
index= #设置数据索引
sourcetype = all #设置数据类型
disabled = 0 #监控开关
Outputs.conf
样例:
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = indexer1:端口,indexer2:端口,indexer3:端口
[tcpout-server://indexer1:端口]
[tcpout-server://indexer2:端口]
[tcpout-server://indexer3:端口]
#主要配置数据要转发的索引器组 和 数据转发的地址
①管理员登录部署服务器
②通过【设置】 进入 【转发器管理】
[应用]下显示可进行推送的应用,如要下发,需新建服务器类实例化应用,
① 新建服务器类
②在新建服务器类中,添加应用 和 客户端
③添加客户端
在白名单添加主机名称用逗号隔开即可
④配置验证
执行一下方法后通过索引和下发的主机,确认是否有数据接入Splunk系统中。
二、APP下发
方法1、在splunk面板执行绑定客户端与APPs 勾选splunkd重新启动即可。
/$SPLUNK_HOME/bin/splunk reload deploy-server
注:在部署服务器执行即可,建议使用方法1方式.
