How to collect logs using Splunk

gamzatti
Vote 0 Votes

- インストール


http://ricemalt.blog98.fc2.com/blog-entry-2.html
に従ってインストール

- 環境変数設定
export SPLUNK_HOME=/opt/splunk
PATH=$PATH:$SPLUNK_HOME/bin

- 自動起動設定
splunk enable boot-start

- 起動
splunk start	/	stop	/	restart
※非root ユーザでの Splunk の起動設定は実施せず

- 通信許可
iptables で8000(TCP),8089(TCP),443(UDP/syslog),9997(forwarder)を許可

- WebUI
http://{hostname}:8000/

- ユーザ作成
admin(元々存在する)

- ログ収集設定

- syslog
http://ricemalt.blog98.fc2.com/blog-entry-9.html
に従って、ファイルとディレクトリでsyslog配下をモニタするように設定

- windows イベントログ
http://blog.serverworks.co.jp/tech/2015/08/05/splunk-enterprise-windows-eventlog/
に従って設定
サーバ側:
Splunk Add-on for Microsoft Windowsをインストール
WebUIからSplunk Appからインストールできるみたいだが、ダウンロード時にエラーになったので、
ダウンロードページから手動で取得し、サーバに転送

https://splunkbase.splunk.com/app/742/
解凍して、以下に配置し、splunk再起動
/opt/splunk/etc/apps
Forwarder:TCP(9997)でリッスンするように設定
ログ収集対象のwindows:
Splunk Universal Forwarderをインストール
これだけで、リアルタイムでイベントログが収集できるようになる
ただし、イベントログの文字列そのままで、項目の抽出はされていない

- アラート設定
検索クエリを入力し、save as --> alert を選択すると、アラート条件として保存できる
アラート発生時のアクションとして、メール送信やスクリプト実行ができる

        

Leave a comment

About this Entry

This page contains a single entry by gamzatti published on April 1, 2017 8:55 PM.

How to enable remote debugging of J2EE application running on Tomcat was the previous entry in this blog.

How to implements webshell using JSP is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.