如果我安装了 splunk 转发器,我可以将远程数据放入我的 splunk 安装中,并索引我的日志,搜索效果很好。但我有许多运行 syslog 的路由器设备和其他设备,并且可以将它们的日志导出到某个地方。
我如何配置 Splunk 来接收这些日志,或者是否可以使用其他解决方法?
答案1
在 Splunk 索引器的输入配置中,您需要在端口 514 上配置一个 UDP 监听器,将类型设置为syslog(这允许它找出一些默认的系统日志字段),将主机设置为流量源(这允许它适当地设置日志项的主机字段)。
完成后,任何标准系统日志设备都可以将数据发送到 Splunk 索引器,并且 Splunk 会很乐意接受它。
答案2
网上有不少关于如何设置 Splunk 以接受 syslog 连接的文章。这是一个这是我通过简单的 Google 搜索找到的。
您基本上只需进入 Splunk 的管理控制台并告诉它接受来自 Y 机器的 X 端口上的连接。这基本上告诉 Splunk 接受这些连接。现在您只需转到每个设备并将该系统的系统日志指向正确端口上的 Splunk IP。
仅供参考-我使用的Google搜索是:配置 splunk 以接受 syslog
答案3
我知道这是一个老话题,但只是为偶然发现它的人做个评论。推荐的方法是通过 syslog-ng 或 Rsyslog 等 syslog 服务器传输 syslog 数据。然后使用 Splunk Universal Forwarder 来监控日志文件并发送到索引层。有几个原因不建议只打开 Splunk 转发器/索引器上的网络端口。首先,UDP 是无状态的,任何时候重新启动 Splunk,数据就会丢失。而且,每次修改配置文件或安装应用程序时,Splunk 都必须重新启动。其次,Splunk 必须以 root 身份运行才能接受低于 1024 的端口上的流量,这违反了最佳实践。它还违反了许多公司的安全政策。
答案4
我想要的是两步过程。我将创建一个中央 syslog/syslog-ng 服务器,该服务器可以通过 syslog 合并所有路由器和其他设备日志。然后,在该中央 syslog/syslog-ng 服务器上,运行 splunk 转发器,将其配置为跟踪您配置的相应 syslog 文件,并将该数据转发到中央 splunk 服务器进行索引。
另一种方法是让 syslog/syslog-ng 服务器与中央 splunk 成为同一台服务器。这样可以省去一个转发步骤。
祝你好运!