Splunk常用CLI命令

Splunk常用CLI命令

1.Splunk基础服务命令

./splunk start
--启动服务
./splunk stop
--关闭服务
./splunk restart
--重启
./splunk status
--查看状态
./splunk version
--查看版本
./splunk show splunkd-port
--查看管理端口
./splunk list splunkd-port
--查看管理端口
./splunk show web-port
--查看web端口
./splunk list web-port
--查看web端口
./splunk set web-port 80
--修改web端口为80
./splunk set servername Mysplunk
--修改Splunk 服务器名称为Mysplunk
--:设置>服务器设置>常规设置>Splunk 服务器名称
./splunk show servername
--查看服务器名
./splunk set default-hostname Mysplunk
--修改默认主机名称为Mysplunk
--在web上修改:设置>服务器设置>常规设置>默认主机名
./splunk show default-hostname
--查看默认主机名
./splunk enable web-ssl
--启用web页面SSL登录
./splunk disable web-ssl
--关闭web页面SSL登录
./splunk enable boot-start
--设置splunk开机启动

2.index 添加、显示、删除splunk 接收数据端口9997

./splunk display listen
--查看splunk接收数据端口
./splunk enable listen 9997
--启用splunk接收数据端口。接收转发器转发的数据
--在web上修改:设置>转发和接收>配置接收>新接收端口
./splunk disable listen 9997
--关闭splunk接收数据端口。接收转发器转发的数据
--在web上修改:设置>转发和接收>配置接收>删除

3.转发器>>添加、显示、删除Splunk index目标服务器

./splunk add forward-server 192.168.10.12:9997
--添加splunk接收服务器和端口
./splunk remove forward-server 192.168.10.12:9997
--删除splunk接收服务器和接口
./splunk list forward-server
--显示Splunk转发器目标服务器列表
./splunk set deploy-poll 192.168.10.9:8089
--添加管理服务器
./splunk list deploy-poll
--显示管理服务器

4.splunk 显示、添加、删除监控项

./splunk add monitor /var/log/audit -index index_name --添加监控项,并指定索引
./splunk remove monitor /var/log/audit
--删除监控项
[root@mysql bin]# ./splunk list monitor
--显示监控项列表
5、用户命令
[root@mysql bin]# ./splunk add user administrator -password '12345678' -full-name 'administrator' -role 'user'  
--创建用户,并设置密码和角色
---password:密码参数、-full-name:用户全称参数、-role:角色参数
[root@mysql bin]# ./splunk edit user admin -password '1234qwer' -role 'admin' -auth admin:12345678  
--修改用户密码并重新添加角色
-password:密码参数、-role:角色参数、-auth:验证原密码
[root@mysql bin]# ./splunk remove user
--删除用户
[root@mysql bin]# ./splunk list user
--显示用户列表

6.索引命令

[root@mysql bin]# ./splunk list index
--列出索引
[root@mysql bin]# ./splunk add index index_name
--创建索引
--在web上修改:设置>索引>新建索引
[root@mysql bin]# ./splunk remove index index_name
--删除索引
--在web页面上修改:设置>索引>删除
splunk disable index nginx_logs
--禁用索引
--在web上修改:设置>索引>禁用
splunk enable index nginx_logs
--启用索引
--在web上修改:设置>索引>启用
splunk reload index nginx_logs--重新加载索引
splunk show datastore-dir  --查看索引存放路径

vim /opt/splunk/splunk/etc/splunk-launch.conf --编辑splunk-launch文件

cat /opt/splunk/splunk/etc/splunk-launch.conf

#   Version 7.2.5

# Modify the following line to suit the location of your Splunk install.
# If unset, Splunk will use the parent of the directory containing the splunk
# CLI executable.
#
# SPLUNK_HOME=/opt/splunk-home
# By default, Splunk stores its indexes under SPLUNK_HOME in the
# var/lib/splunk subdirectory.  This can be overridden
# here:
#SPLUNK_DB=/opt/splunk-home/var/lib/splunk
#添加以下内容
SPLUNK_DB=/opt/splunk/splunk/data

# Splunkd daemon name
SPLUNK_SERVER_NAME=Splunkd

# Splunkweb daemon name
SPLUNK_WEB_NAME=splunkweb

# If SPLUNK_OS_USER is set, then Splunk service will only start
# if the 'splunk [re]start [splunkd]' command is invoked by a user who
# is, or can effectively become via setuid(2), $SPLUNK_OS_USER.
# (This setting can be specified as username or as UID.)
# SPLUNK_OS_USER

$ mkdir data --创建data目录
$ splunk stop --停止splunk服务
$ chown -R splunk:splunk data/ --更改data目录属主:属组
$ ll --查看DATA目录属主:属组
总用量 2432
drwxrwxr-x 2 splunk splunk 6 3月 28 13:55 data
$ mv * /opt/splunk/splunk/data/
--进入/opt/splunk/splunk/var/lib/splunk目录将所有文件
--移动到/opt/splunk/splunk/data/目录下
$splunk start --启动服务

8.Splunk License 安装位置

./etc/licenses/enterprise/Splunk.License.lic

9.下载splunk rpm包

wget https://download.splunk.com/products/splunk/releases/7.2.5.1/linux/splunk-7.2.5.1-962d9a8e1586-linux-2.6-x86_64.rpm

wget https://download.splunk.com/products/universalforwarder/releases/7.2.5/linux/splunkforwarder-7.2.5-088f49762779-linux-2.6-ppc64le.rpm

Copyright: 采用 知识共享署名4.0 国际许可协议进行许可

Links: https://www.hesc.info/archives/202017124326

Buy me a cup of coffee ☕.