Splunk 配置文件介绍
| ⽂件 | 用途 |
|---|---|
| alert_actions.conf | 新建告警。 |
| app.conf | 配置应用属性 |
| audit.conf | 配置审计和事件哈希。本功能在该版本中不可用。 |
| authentication.conf | 在Splunk的内置验证或LDAP之间切换,以及配置LDAP。 |
| authorize.conf | 配置角色,包括具体访问控制。 |
| bookmarks.conf | 书签监视控制台URL。 |
| checklist.conf | 自定义监视控制台运行状况检查。 |
| collections.conf | 为应用配置KV存储集合。 |
| commands.conf | 将搜索命令连接到自定义搜索脚本。 |
| datamodels.conf | 用于配置数据模型的属性/值对。 |
| default.meta.conf | 为Splunk应用对象设置权限。 |
| deploymentclient.conf | 指定部署服务器的客户端的行为。 |
| distsearch.conf | 指定分布式搜索的行为。 |
| event_renderers.conf | 配置event-rendering属性。 |
| eventtypes.conf | 新建事件类型定义。 |
| fields.conf | 新建多值字段,并为索引字段添加搜索功能。 |
| global-banner.conf | 在SplunkWeb的所有页面中显示全局横幅。 |
| health.conf | 为主动Splunk组件监视设置默认阈值。 |
| indexes.conf | 管理和配置索引设置。 |
| inputs.conf | 设置数据输入。 |
| instance.cfg.conf | 指定和管理Splunk特定实例的设置。这非常方便,例如,在标识转发器进行内部搜索时。 |
| limits.conf | 为搜索命令设置各种限制(例如最大结果大小或并发实时搜索)。 |
| literals.conf | 自定义在SplunkWeb中显示的文本,例如搜索错误字符串。 |
| macros.conf | 在设置中定义搜索宏。 |
| messages.conf | 自定义SplunkWeb消息。 |
| metric_rollups.conf | 为指标汇总策略条目设置属性/值对。 |
| multikv.conf | 为类似表的事件(ps、netstat、ls)配置提取规则。 |
| outputs.conf | 设置转发行为。 |
| passwords.conf | 为应用保留凭证信息。 |
| procmon-filters.conf | 监视Windows进程数据。 |
| props.conf | 设置索引属性配置,包括时区偏移、自定义来源类型规则和模式冲突优先级。同时,还会将转换映射到事件属性。 |
| pubsub.conf | 定义部署服务器的自定义客户端。 |
| restmap.conf | 新建自定义REST端点。 |
| savedsearches.conf | 定义普通报表、计划的报表和告警。 |
| searchbnf.conf | 配置搜索助理。 |
| segmenters.conf | 配置分段。 |
| server.conf | 包含用于配置Splunk Enterprise实例完整状态的各种设置。例如,文件中包括各种设置,用于启用SSL、配置索引器群集或搜索头群集的节点、配置KV存储和设置许可证主服务器。 |
| serverclass.conf | 定义与部署服务器一起使用的部署服务器类。 |
| serverclass.seed.xml.conf | 配置如何在启动时为装有应用的部署客户端播种。 |
| source-classifier.conf | 新建来源类型(例如敏感数据)时的忽略条件。 |
| sourcetypes.conf | 用于存储来源类型学习规则的机器⽣成的⽂件。 |
| tags.conf | 配置字段的标记。 |
| telemetry.conf | 启用应用以收集关于应用使用情况和其他属性的遥测数据。 |
| times.conf | 定义在搜索应用中使用的自定义时间范围。 |
| transactiontypes.conf | 为交易搜索添加附加交易类型。 |
| transforms.conf | 配置对数据导入执行的正则表达式转换。 |
| ui-prefs.conf | 为视图更改UI首选项。包括为时间范围挑选器更改默认最早及最晚数值。 |
| user-seed.conf | 设置默认⽤户和密码。 |
| visualizations.conf | 列出应⽤可以为系统提供的可视化。 |
| viewstates.conf | 使用此件文设置IU视图(如图表所示)。 |
| web.conf | 配置SplunkWeb,启⽤HTTPS。 |
| wmi.conf | 设置Windows management instrumentation(WMI)输入。 |
| workflow_actions.conf | 配置工作流动作。 |
| workload_policy.conf | 在工作负荷管理中启用或禁用准入规则。 |
| workload_pools.conf | 在工作负荷管理中配置您可分配给搜索的工作负荷池(计算和内存资源组)。 |
| workload_rules.conf | 配置工作负荷规则以在工作负荷管理中定义工作负荷池的访问权限和优先级。 |
详细说明
1、Splunk几个重要组件
索引器:索引器是用于为数据创建索引的Splunk Enterprise 实例。索引器将原始数据转换为事件并将事件存储至索引(Index)中。索引器还搜索索引数据,以响应搜索请求。
搜索头:在分布式搜索环境中,搜索头是处理搜索管理功能、指引搜索请求至一组搜索节点,然后将结果合并返回至用户的Splunk Enterprise 实例。如果该实例仅搜索不索引,通常被称为专用搜索头。
搜索节点:在分布式搜索环境中,搜索节点是建立索引并完成源自搜索头搜索请求的Splunk Enterprise实例。
转发器:转发器是将数据转发至另一个Splunk Enterprise 实例(索引器或另一个转发器)或至第三方系统的Splunk Enterprise 实例。
接收器:接收器是经配置从转发器接收数据的Splunk Enterprise 实例。接收器为索引器或另一个转发器。
应用:应用是配置、知识对象和客户设计的视图和仪表板的集合,扩展Splunk Enterprise 环境以适应Unix 或Windows 系统管理员、网络安全专家、网站经理、业务分析师等组织团队的特定需求。单个Splunk Enterprise 安装可以同时运行多个应用。
较为简单部署方案为:一个Splunk Enterprise 服务和多个转发器。转发器将Log日志转发到Splunk中,其中转发过来的日志不需要进行再次拆分、提取字段。Splunk帮用户处理成模板数据
2、Splunk配置文件
直接修改配置文件需要重启服务才能让新增的配置生效
Splunk 的默认用户名:admin、密码:changeme
2.1、server.conf
为splunk\splunkforwarder配置文件,设置splunk启动后当前服务名称(搜索头、搜索节点、索引器)
[general]
serverName = localhost.localdomain
pass4SymmKey = $7$znG+fcVW55mxvkdEg8tjt6FL1babrzyOVAqAsLIfwFrq7/oYnR3lTw==
[sslConfig]
sslPassword = $7$D4zyltZjkAYwmTZychJ5FRJIPMglvDbOq9LoilxIXcXbqNMuYDLnVg==
[lmpool:auto_generated_pool_forwarder]
description = auto_generated_pool_forwarder
quota = MAX
slaves = *
stack_id = forwarder
[lmpool:auto_generated_pool_free]
description = auto_generated_pool_free
quota = MAX
slaves = *
stack_id = free
2.2、outputs.conf
为splunkforwarder配置文件,作用是为splunkforwarder配置index服务器
IP(ip:port)
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
disabled = false
###是否禁用
server = 192.168.10.9:9997
###接受数据IP及端口
[tcpout-server://192.168.10.9:9997]
2.3、inputs.conf
为splunkforwarder配置文件,设置splunkforwarder需要转发文件/目录,设置指定的index、sourcetype
[default]
host = 192.168.10.4
#和server.conf名称相同
监控文件和目录,监控文件内容
[monitor:///var/log/boot.log]
#监控文件,和路径
disabled = false
#是否禁用
index = index_name
#指定索引名称,添加前先检查index是否存在
sourcetype = sourcetype_name
#指定数据来源类型(sourcetype)
通过脚本获取数据
[script://./bin/data_namespaces.sh]
#脚本路径,默认
index = namespace_resourcequota
##指定存储数据索引
sourcetype = psc_namespace_resourcequota
##数据来源类型
interval = 0 3 * * *
##cron定时执行计划
disabled = false
##是否禁用
### fschange配置 监控/etc目录下的文件更改情况
[fschange:/etc]
##监控项
index = fs
##指定存储数据索引
sourcetype = fs_notification
##数据来源类型,fs_notification为默认sourcetype,指定为默认的sourcetype即可不需要再次提取字段
recurse = true
pollPeriod = 5
fullEvent = true
sendEventMaxSize = -1
hashMaxSize = 99999999
disabled = false
##是否禁用
2.4、indexes.conf
splunk index 索引的配置文件
[linux_logs]
#索引名称
coldPath = /opt/splunk/splunk/linux_logs/colddb
#冷路径
coldToFrozenDir = /opt/splunk/splunk/linux_logs/bakdb
#备份路径
enableDataIntegrityControl = 0
#启用数据完整性控制
enableTsidxReduction = 0
#Tsidx 保存策略:是否减少
homePath = /opt/splunk/splunk/linux_logs/db
#起始保存路径
maxDataSize = 500
#最大保存大小
maxTotalDataSizeMB = 100
#最小保存大小
thawedPath = /opt/splunk/splunk/linux_logs/thaweddb
#ds解冻的路径
2.5、splunk-launch.conf
为splunk数据默认安装,index数据存储位置配置文件,修改可更改splunk的index默认存储路径
splunk安装路径和索引默认存放路径
# Version 7.2.5
# Modify the following line to suit the location of your Splunk install.
# If unset, Splunk will use the parent of the directory containing the splunk
# CLI executable.
#splunk默认安装路径,不推荐修改
SPLUNK_HOME=/opt/splunk/splunk
# By default, Splunk stores its indexes under SPLUNK_HOME in the
# var/lib/splunk subdirectory. This can be overridden
# here:
#splunk 索引默认存放路径,可以修改
SPLUNK_DB=/opt/splunk-home/var/lib/splunk
#Splunkd守护进程名称
SPLUNK_SERVER_NAME=Splunkd
#Splunkdweb守护进程名称
SPLUNK_WEB_NAME=splunkweb
# If SPLUNK_OS_USER is set, then Splunk service will only start
# if the 'splunk [re]start [splunkd]' command is invoked by a user who
# is, or can effectively become via setuid(2), $SPLUNK_OS_USER.
# (This setting can be specified as username or as UID.)
#
# SPLUNK_OS_USER
官方介绍文档
https://docs.splunk.com/Documentation/Splunk/8.1.3/Admin/Alertactionsconf
-d2979772834f4346a961b123d2a49447.jpg)
评论区