Splunk CLI command
1 服务相关命令
命令 |
描述 |
| splunk start |
启动服务 |
| splunk start --accept-license |
第一次启动splunk时,自动接受许可不进行提示。多用于脚本自动安装 |
| splunk start --answer-yes |
在安装和升级时对提示回答:“Yes” |
| splunk start --debug |
以详细日志记录模式启动Splunk |
| splunk start --seed-passwd admin@123 |
安装过程中给admin设置密码,如果检测到etc/passwd或user-seed.conf文件存在,则该命令将被忽略。 |
| splunk start --gen-and-print-passwd |
安装过程中给admin设置随机密码,并显示在命令行中。 |
| splunk stop |
停止Splunk服务 |
| splunk restart |
重新启动Splunk服务 |
| splunk enable boot-start |
启用splunk开机启动 |
| splunk enable boot-start -user splunk |
启用splunk开机启动并指定用户启动服务 |
| splunk disable boot-start |
禁用splunk开机启动 |
| splunk version |
查看splunk版本 |
2 Splunk list command
命令 |
描述 |
| splunk [list|show] splunkd-port |
查看splunkd是使用的端口号,一般为8089,为splunk管理端口 |
| splunk [list|show] web-port |
查看Splunk web界面端口号,默认为8000。 |
| splunk [list|show] kvstore-port |
查看Splunk kvstore使用的端口号,默认为8191。 |
| splunk [list|show] appserver-ports |
显示Splunk应用程序服务器监听的端口。 |
| splunk [list|show] dfsmaster-port |
显示DFS使用的端口。 |
| splunk set web-port 80 |
将splunk web界面端口设置为80,需要重启splunk服务 |
| splunk list indexer |
显示该服务器上的所有索引 |
| splunk list exec |
显示改服务器配置的脚本输入 |
| splunk list monitor |
显示该服务器配置的目录和文件输入。注意:这将显示当前或最近被splunkd监视的文件和目录的变化。 |
| splunk list tcp |
显示该服务器配置的tcp输入 |
| splunk list udp |
显示改服务器配置的udp输入 |
| splunk list indexer-discovery |
显示此服务器配置的索引器发现 |
| splunk list forward-server |
显示Splunk转发器目标服务器列表 |
| splunk list user |
显示此服务器创建的用户 |
| splunk list role |
显示此服务器创建的角色 |
| splunk list inputstatus |
显示不同splunk输入的状态。 |
| 搜索头集群 |
|
| splunk list shcluster-bundle |
显示SearchHead Cluster部署节点中应用程序包的状态。 |
| splunk list shcluster-config |
显示当前SearchHead Cluster配置 |
| splunk list shcluster-members |
显示SearchHead Cluster成员信息 |
| splunk list shcluster-captain-info |
显示SearchHead Cluster Captain信息 |
| splunk list shcluster-artifacts |
显示SearchHead Cluster工件信息 |
| splunk list shcluster-scheduler-jobs |
显示搜索头集群调度程序作业信息 |
| splunk list shcluster-member-info |
显示SearchHead Cluster成员或对等体信息 |
| splunk list shcluster-configuration-set |
显示SearchHead Cluster节点集(配置的所有节点) |
| splunk list shcluster-member-artifacts |
显示SearchHead Cluster成员工件信息 |
3 Splunk show command
| 命令 |
描述 |
| splunk show web-port |
显示Splunk Web监听的端口 |
| splunk show splunkd-port |
显示Splunk守护进程(splunkd)侦听的端口 |
| splunk show kvstore-port |
显示KV存储使用的端口 |
| splunk show appserver-ports |
显示Splunk应用服务器侦听的端口 |
| splunk show dfsmaster-port |
显示DFS使用的端口 |
| splunk show default-hostname |
显示用于所有数据输入的默认主机名 |
| splunk show minfreemb |
显示最小空闲磁盘空间阈值(如果空闲空间低于此量Splunk停止索引数据) |
| splunk show guid |
给箱子的向导看 |
| splunk show fips-mode |
显示FIPS模式状态 |
| splunk show servername |
显示分布式搜索中使用的服务器名 |
| splunk show datastore-dir |
显示哪个目录用于Splunk的数据存储 |
| splunk show log-level |
显示当前日志级别 |
| splunk show workload-management-status |
查看工作负载管理状态 |
| splunk show cascade-plan-status |
查看级联计划状态 |
| splunk show bundle-replication-status |
查看知识包复制状态 |
| splunk show bundle-replication-config |
查看知识包复制配置信息 |
| 远程输出队列 |
|
| splunk show remote-output-queue-config |
查看远程输出队列配置 |
| splunk show remote-output-queue-status |
查看远程输出队列状态 |
| splunk show remote-input-queue-config |
查看远程输入队列配置 |
| splunk show remote-input-queue-status |
查看远程输入队列状态 |
| splunk show maintenance-mode |
显示是否在集群管理器上设置了维护模式。必须在集群管理器上调用 |
| 集群相关命令 |
|
| splunk show cluster-bundle-status |
查看"apply cluster-bundle"命令的状态 |
| splunk show cluster-status |
查看集群状态。详细模式为滚动升级添加了健康检查 |
| splunk show shcluster-maintenance-mode |
显示是否在shclustering的主节点上设置了维护模式。必须在主服务器上调用。 |
| splunk show shcluster-status |
查看搜索头集群的状态。 |
| splunk show kvstore-status |
查看KV Store集群状态。 |
| splunk show kvstore |
从归档文件中显示KVStore数据。 |
| splunk show shcluster-kvmigration-status |
查看KV Store迁移状态 |
| splunk show shcluster-kvupgrade-status |
查看KV Store升级状态 |
| splunk show deploy-poll |
显示将其配置为从哪个部署服务器轮询 |
| splunk show scheduler-status |
显示搜索调度器状态。 |
4 Splunk Index command
| 命令 |
描述 |
| splunk list index [IndexName] |
列出该服务器上的所有索引 |
| splunk add index [IndexName] |
在此服务器上添加索引 |
| splunk edit index [IndexName] |
编辑此服务器上的索引 |
| splunk enable index [IndexName] |
允许写入索引 |
| splunk disable index [IndexName] |
禁止写入索引 |
| splunk remove index [IndexName] |
删除索引 |
| splunk reload index [IndexName] |
重新加载索引配置,使所有"添加\编辑\启用\禁用索引"命令立即生效,因为上次重新加载或Splunk重新启动 |
5 Splunk CLI 常用命令
| 命令 |
描述 |
| splunk list index |
列出索引 |
| splunk add index index_name |
创建索引 |
| splunk remove index index_name |
删除索引 |
| splunk disable index nginx_logs |
禁用索引 |
| splunk enable index nginx_logs |
启用索引 |
| splunk reload index nginx_logs |
重新加载索引 |
| splunk list index IndexName |
查看索引相关信息 |
| 数据转发和接收 |
|
| splunk display listen |
显示全部splunk数据接收端口 |
| splunk enable listen 9997 |
启用splunk 9997数据接收端口
web页面修改:设置>转发和接收>配置接收>新接收端口 |
| splunk disable listen 9997 |
禁用splunk 9997数据接收端口
web页面修改:设置>转发和接收>配置接收>删除 |
| forwarder |
|
| splunk add forward-server 192.168.10.12:9997 |
添加splunk数据转发目标服务器 |
| splunk remove forward-server 192.168.10.12:9997 |
删除splunk数据转发目标服务器 |
| splunk list forward-server |
显示Splunk转发器目标服务器列表 |
| splunk set deploy-poll 192.168.10.9:8089 |
给forwarder添加deploy(部署)服务器 |
| monitor |
|
| splunk add monitor /var/log/audit -index index_name |
添加监控项 |
| splunk remove monitor /var/log/audit |
删除监控项 |
| splunk list monitor |
显示监控项 |
| User |
|
| splunk add user administrator -password ‘12345678’ -full-name ‘administrator’ -role ‘user’ |
创建用户并设置密码和角色,password:密码参数、-full-name:用户全称参数、-role:角色参数 |
| splunk edit user admin -password ‘1234qwer’ -role ‘admin’ -auth admin:12345678 |
修改用户密码并重新添加角色,password:密码参数、-role:角色参数、-auth:验证原密码 |
| splunk remove user |
删除用户 |
| splunk list user |
显示用户列表 |
6 Splunk CLI command Syntax
[root@splunk-searchhead ~]# splunk help
Welcome to Splunk's Command Line Interface (CLI).
Type these commands for more help:
help [command] type a command name to access its help page
help [object] type an object name to access its help page
help [topic] type a topic keyword to get help on a topic
help commands display a full list of CLI commands
help clustering commands that can be used to configure the clustering setup
help shclustering commands that can be used to configure the Search Head Cluster setup
help control, controls tools to start, stop, manage Splunk processes
help datastore manage Splunk's local filesystem use
help distributed manage distributed configurations such as data cloning, routing, and distributed search
help forwarding manage deployments
help input, inputs manage data inputs
help licensing manage licenses for your Splunk server
help settings manage settings for your Splunk server
help simple, cheatsheet display a list of common commands with syntax
help tools tools to help your Splunk server
help search help with Splunk searches
Universal Parameters:
The following parameters are usable by any command. For more details on each parameter, type "help [parameter]".
Syntax:
[command] [object] [-parameter <value> | <value>]... [-uri][-auth]
app specify the app or namespace to run the command; for search, defaults to the Search app
auth specify login credentials to execute commands that require you to be logged in
owner specify the owner/user context associated with an object; if not specified,defaults to the currently logged in user
uri execute a command on any specified Splunk server. Use the format: <ip>:<port>
Note: Both IPv4 and IPv6 formats are supported for specifying an IP address, for example:
127.0.0.1:80 or "[2001:db8::1]:80". By default, splunkd listens on IPv4 only. To enable
IPv6 support, refer to the instructions in:http://docs.splunk.com/Documentation/Splunk/latest/Admin/ConfigureSplunkforIPv6
Objects:
None
Required Parameters:
None
Optional Parameters:
None
Examples:
None
Type "help [command]" to get help with parameters for a specific command.
Complete documentation is available online at: http://docs.splunk.com/Documentation
-d2979772834f4346a961b123d2a49447.jpg)
评论区