Splunk + Forwarder 收集分析Windows系统日志

本文基于Splunk Forwarder自动收集Windows日志,将日志发送到Splunk做统一收集,并建立简单的图标分析,实时监控Windows系统日志。

Splunk系统安装

Splunk官方提供60天,500M的免费试用期,本文基于官方的免费Docker镜像搭建实验环境,安装过程非常简答,这里不再赘述,可以参考Splunk Docker文档相关内容搭建简单的Splunk环境。
Splunk主界面

安装Splunk Forwarder配置

访问Splunk官网下载Windows版本的Forward,如下图所示:
下载Forwarder

  1. 下载完成后双击安装程序开始安装,如下图:
    image.png
  2. 选择安装目录,然后下一步:
    image.png
  3. 这一步可以选择Forwarder与Splunk采用加密的通信方式,这里使用默认的秘钥,然后下一步:
    image.png
  4. 这一步选择让Splunk监控的Event Log类型,还可以选择具体监控某个文件,事实上Splunk在Windows能监控的点远不止这个界面上罗列的内容,这里只是将一些常用的选项列举出来,通过修改Forwarder的配置文件可以监控到更多选项,比如我们配置转发的源端、目的端在$SplunkHome\SplunkUniversalForwarder\etc\system\local,更多监控配置实例在$SplunkHome\SplunkUniversalForwarder\etc\system\README。
    image.png
  5. Splunk可以对所有的Forwarder做集中管理,试想一下,如果你有上千个日志采集器Forwarder部署,如果每台机器单独运维,那么效率一定不高。这一步配置一个集中管理Forwarder的节点,默认端口是8089,比如我的服务器部署在122.112.204.170,那么具体填写如下:
    image.png
  6. 下一步配置Forwarder将采集到的日志往哪个IP端口发送,也即日志的目的端:
    image.png
  7. 接下来点击“Install”完成安装

Splunk配置日志接收

配置好Forwarder日志采集客户端,还需要在Splunk上配置接收端,登录Splunk主界面,点击右上角“设置”菜单->“转发和接收”->“配置接收”
image.png
点击“新增”,设置接收端口为9997(与前面步骤Forwarder发送端口一致),点击“保存”如下图:
image.png

Splunk查看日志

接下来,我们到“Search&Reporting”的搜索界面查询Windows上收集上来的事件日志:
image.png
简单配置一下Dashboard效果如下:
image.png