【原】splunk命令行操作以及相关信息

BIGDATA云 2019-03-01

展开全文

OU=xdf_users OU=xindongfang DC=yunjm DC=contoso DC=com 用户

OU=xindongfang DC=yunjm DC=contoso DC=com 组

*磁盘中VM

********************

=======================================================================================

Splunk-Master inet addr:192.168.154.140 Bcast:192.168.154.255 Mask:255.255.255.0

Splunk-Index-01 inet addr:192.168.154.141 Bcast:192.168.154.255 Mask:255.255.255.0

Splunk-Index-02 inet addr:192.168.154.142 Bcast:192.168.154.255 Mask:255.255.255.0

Splunk-Index-03 inet addr:192.168.154.143 Bcast:192.168.154.255 Mask:255.255.255.0

=======================================================================================

****

*搭建Splunk环境的命令

***********************

#################################################################################################

CentOS 6.5

vim /etc/sysconfig/network

vim /etc/hosts

service iptables stop

chkconfig iptables off

CentOS 7

hostnamectl set-hostname Splunk-forword 修改主机名

1、关闭firewall：

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

firewall-cmd --state #查看默认防火墙状态（关闭后显示notrunning，开启后显示running）

2、iptables防火墙（这里iptables已经安装，下面进行配置）

vi/etc/sysconfig/iptables #编辑防火墙配置文件

# sampleconfiguration for iptables service

# you can edit thismanually or use system-config-firewall

# please do not askus to add additional ports/services to this default configuration

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT[0:0]

:OUTPUT ACCEPT[0:0]

-A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -jACCEPT

-A INPUT -i lo -jACCEPT

-A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT

-A INPUT -j REJECT--reject-with icmp-host-prohibited

-A FORWARD -jREJECT --reject-with icmp-host-prohibited

COMMIT

:wq! #保存退出

#################################################################################################

*SPLUNLK

*********************

ls -l splunk*

tar zxvf splunk-* - Linux -*.tgz -C /opt 安装splunk

cd /opt/splunk/bin

./splunk start --accept-license

http8000web端口 8089管理端口 mgmt

http：//myalfresco.fulan：8000

默认账户是：admin

默认密码是：cangeme

首次登录需要改密码

防火墙:service iptables status

splunk 开机自启动 ./splunk enable boot-start

卸载 splunk Enterprise

splunk disable boot-start禁用自启动

splunk stop

rm -rf/opt/splunk

卸载要慎重，注意数据备份

****

*卸载

****************

$SPLUNK_HOME/bin/splunk stop

Find and kill any lingering processes that contain "splunk" in their name.

For Linux

For Mac OS

Remove the Splunk Enterprise installation directory, $SPLUNK_HOME.

rm -rf /Applications/splunk

###################################################################################################

*安装 splunk Universal Forwarder

***************************************

tar xzvf splunkforwarder—*.tgz -C /opt

/opt/splunkforwarder/bin/splunk start --accept-license

/opt/splunkforwarder/bin/splunk enable boot-start

会出现一个端口冲突的问题 :8090

重新设置端口

./splunk show splunkd-port

./splunk set splunkd-port 8091

修改密码：

-role admin -auth admin:changeme

*windows DOS命令

*******************************

net start splunk

net stop splunk

./splunk show splunkd-port

./splunk show web-port

=======================================================

*归档路径

***********************

################################################################

cd /opt/splunk/var/lib/splunk/

cd /opt/splunk/etc/apps/要归档的索引/local

cd /opt/splunk/etc/apps/search/local

################################################################

*******************

*归档配置参数

*21600 一天

*648000一个月

*188697600 6年

①归档的保存周期（天数配置参数）

②冻结归档路径命令

***************************************

###################################################################################################

①frozenTimePeriodInSecs = 21600

②coldToFrozenDir =

###################################################################################################

**********************

*history 查看历史操作*

*解冻命令 *

**********************

##################################################################################################

cp -rf db_1515994584_1515990961_0/opt/splunk/var/lib/splunk/解冻的索引/thaweddb/ #

cd /opt/splunk/var/lib/splunk/要解冻的索引/thaweddb #

../thaweddb/ls | xargs -i /opt/splunk/bin/splunk rebuild {} #

################################################################

*常用目录

*******************

#######################################################################################################################

主目录

$Splunk_Home/bin #主要脚本目录

$Splunk_Home/etc #主要配置目录

$Splunk_Home/var #主要日志目录和数据目录

常用目录

$Splunk_Home/etc/system/ #系统常用配置目录

$Splunk_Home/etc/users #用户角色及用户配置目录

$Splunk_Home/etc/apps #应用目录

$Splunk_Home/etc/deployment-apps #客户端应用推送目录

$Splunk_Home/etc/master-apps #索引推送目录

$Splunk_Home/etc/shcluster #搜索头应用推送目录

注意事项

$Splunk_Home/etc/system/default --它是Splunk自带的默认配置文件，不要编辑此目录下文件，因为每次跟新系统时它们将被重写。

$Splunk_Home/etc/system/local --全局配置文件

###########################################################################################################################

*常用命令

*******************

###########################################################################################################################

./splunk show splunkd-port

./splunk set splunkd-port 8091 重新设置端口

修改密码：

-role admin -auth admin:changeme

常用命令

启动splunk start

关闭splunk stop

重启splunk restart

查看状态：splunk status

查看版本：splunk version

查看进程：ps -ef |grep splunk

service iptables status 状态

en_US 英文

zh_CN 中文

################################################################

***************************************************************************************

*cd /opt/splunk/bin

*ll

*deployment -apps

*ls

* 要是配置splunkForwarder 会变成重量转发器

* splunkLInghtForwarder 是轻量转发器

* splunk management consol 管理

* cat indexes.conf

*****************************************

*default vs local *

* *

*default 目录是splunk自带的目录 *

*自定义的配置都要放在local目录下 *

*千万不要直接修改default目录下的文件 *

*升级default目录会被覆盖，local目录则不会*

******************************************

配置端口号

查看端口号

splunk show splunkd-port

splunk show web-port

修改端口

splunk set splunkd-port

splunk set web-port

服务器配置命令

splunk set servername mysplunk1

splunk set default-hostname myhost1

splunk enable web-ssl

splunk disable web-ssl

修改用户密码

splunk add user //新增用户

splunk list user //列出用户

splunk remove user // 删除用户

*索引操作

****************

splunk list index 列出所有索引

splunk add index//添加索引

splunk remove index//删除索引

splunk enable index//启用索引

splunk disable index//禁用索引

splunk reload index//重新加载索引

例如：

splunk add index myindex01

splunk disable index myindex01

*启用监听端口

***************

splunk enable listen 9997

splunk disable lsitisten 9997

splunk display listen

*splunk show 命令

******************

Splunk show web-port

Splunk show splunkd-port

Splunk show defaule-hostname

Splunk show servername

Splunk show datastore-dir

*转发器常用命令

******************

################################################################

splunk remove monitor//删除监控项

splunk list monitor //列出监控项

splunk add forward-server 192.168.1.113:9997//添加转发服务器

splunk remove forward-server 192.168.1.113:9997//删除

splunk list forward-server //列出转发服务器

./splunk add monitor /var/log/audit.log -index main

*****

*splunk help 命令

*******************

splunk help

splunk help commands

splunk help index

splunk help monitor

splunk help show

splunk help forward-server

splunk help set

################################################################

①同意默认的

②选择一个安装位置

③公司有相应的证书进行加载公司的证书

在填入密码

④有两个选择第一个是本地用户第二个*是用户

由于视频安装的本地的所以选择本地用户

⑤第一个是是否采集本地win系统的事件这里视屏全选

第二个是是否采集win性能的数据

第三个是否监控一些本地的文件

⑥一个是默认的安装版本还可以选择其他版本进行安装：

⑦部署服务器在这里没做详细的分析

⑧这里配置是本地locahost 端口是9997 默认是9997 也可以设置其他

⑨在web页面里点设置---转发与接收

接收数据里面选择新增设置为9997 这里面设置完不需要

重新启动splunk

⑩查看接收端口splunk display listen

账号密码会展示端口号“例如：9997”

在添加一个在crl命令进行

splunk enable listen 9998

系统自动检测自动修改端口

端口号：查询：

cd 安装splunkUF文件bin目录下 splunk show splunk-port

账号admin 密码 changeme 会展示端口号“例如：“8090”

修改密码： splunk edit user admin password

################################################################

配置splunk服务器名称

设置-》服务器设置-》常规设置

默认是服务器主机名

也可以通过命令行修改

splunk set servername myname1

修改后需要重启 restart

修改主机host名称

通过web页面可以修改

cli命令行为：./splunk set default

-hostname mysplunkserver

splunk Web 启用SSL（HTTPS）

在splunk Cli命令

splunk enable web-ssl //启动ssl

splunk disable web-ssl //禁用ssl

重启后 splunk web

例如：https://192.168.1.113:8000

修改默认索引位置

默认索引位置：/opt/splunk/var/lib/splunk/

mkdir/foo/splunk/ //非root用户请更改

目录所有者（chown）

splunk stop

cp -rp /opt/splunk/var/lib/splunk/*/foo/splunk/

vi/opt/splunk/etc/splunk-launch.conf

SPLUNLK_DB=/foo/splunk

splunk start

cd ../var/lib/splunk/

pwd

带_的是内部索引

main.dat是默认索引

查看索引 ./splunk list index

配置接收端口

splunk Enterprise 与 Universal Forwarder

之间的接收端口默认为TCP9997

设置-》转发与接收-》配置接收，新增9997

通过splunk CLi 命令

splunk enable listen 9997

无需重启

创建索引

索引：被索引的数据存储在索引（index）中

类似于database

设置->索引：

默认为main

在splunk web 中创建/删除索引

通过splunk CLi创建索引

splunk addindex myindex1

splunk remove index myindex1

./splunk init shcluster-config -auth admin:admin -mgmt_uri https://192.168.2.43:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.102:8089 -secret admin

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.114:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.130:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.145:8089" -auth admin:admin

./splunk show shcluster-status -auth admin:1234.com

*关闭防火墙

*****************

systemctl stop firewalld.service #停止firewall

systemctl disable firewalld.service #禁止firewall开机启动

firewall-cmd --state #查看默认防火墙状态（关闭后显示notrunning，开启后显示running）

################################################################

*./splunk enable boot-start

splunk disable boot-start

*entos7的网卡重启方法

***************************

1、centos6的网卡重启方法：service network restart

centos7的网卡重启方法：systemctl restart network

nmtui

2、DNS配置文件：cat /etc/resolv.conf

设置主机和IP绑定信息：cat /etc/hosts

设置主机名：cat /etc/hostname

3、可以使用nmtui文本框方式修改IP

4、关闭防火墙并设置开机不启动

查看防火墙状态：systemctl status firewalld.service

关闭：systemctl stop firewalld

开启：systemctl start firewalld

开机自动关闭：systemctl disable firewalld

开机自动启动：systemctl enable firewalld

查看开机是否启动：chkconfig --list|grep network(RHLE6)

图形化

yum groupinstall "GNOME Desktop" "Graphical Administration Tools"

################################################################

[shclustering

_internal

server.conf

find -name "server.conf" 找指定的文件

--accept-license

mstsc 远程连接

*history

frozenTimePeriodInSecs= 归档的保存周期（天数配置参数）

21600 一天

648000一个月

188697600 6年

coldToFrozenDir= 冻结归档路径命令

cd var/lib/splunk/eucp/tempdb

ls | xargs -i /var/opt/splunk/bin/splunk rebuild {}"

./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.136:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.114:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:Splunk01.com -mgmt_uri https://192.168.2.130:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

$Splunk_Home/bin 下发App./splunk apply shcluster-bundle -target https://192.168.2.136:8089 -auth admin:1234.com

./splunk apply shcluster-bundle -target https://192.168.2.147:8089 -auth admin:1234.com

配置search管理员./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.130:8089,https://192.168.2.114:8089" -auth admin:admin

[deployment-client]

disabled = 0

phoneHomeIntervalInSecs = 20

[target-broker:deploymentServer]

targetUri = 192.168.2.100:8089

*Splunk-search群集搭建命令

*********************

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.147:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.148:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

./splunk init shcluster-config -auth admin:1234.com -mgmt_uri https://192.168.2.149:8089 -replication_port 8080 -replication_factor 2 -conf_deploy_fetch_url https://192.168.2.100:8089 -secret 1234.com

重启后再制定管理员

*配置search管理员

********************

./splunk bootstrap shcluster-captain -servers_list "https://192.168.2.148:8089,https://192.168.2.149:8089" -auth admin:1234.com

[monitor://E:YJMyunjm.log]

index=bm

sourcetype = all

disabled = 0

whitelist =

blacklist =

[tcpout]

defaultGroup = default-autolb-group