本文基于Splunk Forwarder自动收集Windows日志,将日志发送到Splunk做统一收集,并建立简单的图标分析,实时监控Windows系统日志。
Splunk系统安装
Splunk官方提供60天,500M的免费试用期,本文基于官方的免费Docker镜像搭建实验环境,安装过程非常简答,这里不再赘述,可以参考Splunk Docker文档相关内容搭建简单的Splunk环境。
安装Splunk Forwarder配置
访问Splunk官网下载Windows版本的Forward,如下图所示:
- 下载完成后双击安装程序开始安装,如下图:
- 选择安装目录,然后下一步:
- 这一步可以选择Forwarder与Splunk采用加密的通信方式,这里使用默认的秘钥,然后下一步:
- 这一步选择让Splunk监控的Event Log类型,还可以选择具体监控某个文件,事实上Splunk在Windows能监控的点远不止这个界面上罗列的内容,这里只是将一些常用的选项列举出来,通过修改Forwarder的配置文件可以监控到更多选项,比如我们配置转发的源端、目的端在$SplunkHome\SplunkUniversalForwarder\etc\system\local,更多监控配置实例在$SplunkHome\SplunkUniversalForwarder\etc\system\README。
- Splunk可以对所有的Forwarder做集中管理,试想一下,如果你有上千个日志采集器Forwarder部署,如果每台机器单独运维,那么效率一定不高。这一步配置一个集中管理Forwarder的节点,默认端口是8089,比如我的服务器部署在122.112.204.170,那么具体填写如下:
- 下一步配置Forwarder将采集到的日志往哪个IP端口发送,也即日志的目的端:
- 接下来点击“Install”完成安装
Splunk配置日志接收
配置好Forwarder日志采集客户端,还需要在Splunk上配置接收端,登录Splunk主界面,点击右上角“设置”菜单->“转发和接收”->“配置接收”
点击“新增”,设置接收端口为9997(与前面步骤Forwarder发送端口一致),点击“保存”如下图:
Splunk查看日志
接下来,我们到“Search&Reporting”的搜索界面查询Windows上收集上来的事件日志:
简单配置一下Dashboard效果如下: