本文基于Splunk Forwarder自動(dòng)收集Windows日志犯助,將日志發(fā)送到Splunk做統(tǒng)一收集恨闪,并建立簡(jiǎn)單的圖標(biāo)分析优质,實(shí)時(shí)監(jiān)控Windows系統(tǒng)日志。
Splunk系統(tǒng)安裝
Splunk官方提供60天研叫,500M的免費(fèi)試用期,本文基于官方的免費(fèi)Docker鏡像搭建實(shí)驗(yàn)環(huán)境璧针,安裝過(guò)程非常簡(jiǎn)答嚷炉,這里不再贅述,可以參考Splunk Docker文檔相關(guān)內(nèi)容搭建簡(jiǎn)單的Splunk環(huán)境探橱。
安裝Splunk Forwarder配置
訪問(wèn)Splunk官網(wǎng)下載Windows版本的Forward申屹,如下圖所示:
-
下載完成后雙擊安裝程序開(kāi)始安裝,如下圖:
image.png -
選擇安裝目錄隧膏,然后下一步:
image.png -
這一步可以選擇Forwarder與Splunk采用加密的通信方式哗讥,這里使用默認(rèn)的秘鑰,然后下一步:
image.png -
這一步選擇讓Splunk監(jiān)控的Event Log類(lèi)型胞枕,還可以選擇具體監(jiān)控某個(gè)文件忌栅,事實(shí)上Splunk在Windows能監(jiān)控的點(diǎn)遠(yuǎn)不止這個(gè)界面上羅列的內(nèi)容,這里只是將一些常用的選項(xiàng)列舉出來(lái)曲稼,通過(guò)修改Forwarder的配置文件可以監(jiān)控到更多選項(xiàng)索绪,比如我們配置轉(zhuǎn)發(fā)的源端、目的端在$SplunkHome\SplunkUniversalForwarder\etc\system\local贫悄,更多監(jiān)控配置實(shí)例在$SplunkHome\SplunkUniversalForwarder\etc\system\README瑞驱。
image.png -
Splunk可以對(duì)所有的Forwarder做集中管理,試想一下窄坦,如果你有上千個(gè)日志采集器Forwarder部署唤反,如果每臺(tái)機(jī)器單獨(dú)運(yùn)維,那么效率一定不高鸭津。這一步配置一個(gè)集中管理Forwarder的節(jié)點(diǎn)彤侍,默認(rèn)端口是8089,比如我的服務(wù)器部署在122.112.204.170逆趋,那么具體填寫(xiě)如下:
image.png -
下一步配置Forwarder將采集到的日志往哪個(gè)IP端口發(fā)送盏阶,也即日志的目的端:
image.png - 接下來(lái)點(diǎn)擊“Install”完成安裝
Splunk配置日志接收
配置好Forwarder日志采集客戶(hù)端,還需要在Splunk上配置接收端闻书,登錄Splunk主界面名斟,點(diǎn)擊右上角“設(shè)置”菜單->“轉(zhuǎn)發(fā)和接收”->“配置接收”
點(diǎn)擊“新增”脑慧,設(shè)置接收端口為9997(與前面步驟Forwarder發(fā)送端口一致),點(diǎn)擊“保存”如下圖:
Splunk查看日志
接下來(lái)砰盐,我們到“Search&Reporting”的搜索界面查詢(xún)Windows上收集上來(lái)的事件日志:
簡(jiǎn)單配置一下Dashboard效果如下:
