Forwarder installieren und konfigurieren

Folgende Informationen und Konfigurationsanleitungen sind auch ersichtlich unter: https://docs.splunk.com/Documentation/Forwarder/8.2.1/Forwarder/Installanixuniversalforwarder#Install_the_universal_forwarder_on_Linux

Die nachfolgenden Schritte sollten auf dem Quellserver ausgeführt werden, nicht auf dem zuvor konfigurierten Splunk-Server!

#Ins entsprechende Verzeichnis navigieren
cd /tools/oracle/mnt/Unbreakable_Oracle_Linux/splunk

#Splunk Forwarder ins OPT-Verzeichnis entpacken
tar xvzf splunkforwarder-6.2.3-264376-Linux-x86_64.tgz -C /opt

#Ins entsprechende Verzeichnis navigieren
cd /opt/splunkforwarder/bin

#Den Forwader starten (Splunk-User)
./splunk start

#Falls einmal nötig, kann der Forwarder wie folgt gestoppt werden (Splunk-User)
./splunk stop

#Ins entsprechende Verzeichnis navigieren
cd /opt/splunkforwarder/bin

#Anschliessend den Forwarder konfigurieren
#So werden alle Daten vom Quellserver zum Zielserver (Splunk-Server) gesetndet
./splunk add forward-server 10.100.1.184:9997

#Überwachung von Splunk des angegebenen Verzeichnisses
./splunk add monitor /var/log

#Ins entsprechende Verzeichnis navigieren
cd /opt/splunkforwarder/bin

#Splunk restarten 
#Anschliessend sollte der Quellserver Daten an den Splunk-Server senden
./splunk restart

Überprüfen im Splunk-GUI ==> neue Suche

index=* host="lnx55111.css.ch"

PreviousDaten einlesen NextAlert-Log aktivieren

Last updated 3 years ago