<?xml version="1.0" encoding="UTF-8" ?>
<rss version="2.0">
<channel>
<title><![CDATA[运维进行时]]></title> 
<link>https://blog.liuts.com/index.php</link> 
<description><![CDATA[互联网运维与架构]]></description> 
<language>zh-cn</language> 
<copyright><![CDATA[运维进行时]]></copyright>
<item>
<link>https://blog.liuts.com/post/158/</link>
<title><![CDATA[splunk与syslog建立强大的日志服务器]]></title> 
<author>root &lt;admin@yourname.com&gt;</author>
<category><![CDATA[Splunk]]></category>
<pubDate>Sun, 17 May 2009 15:49:52 +0000</pubDate> 
<guid>https://blog.liuts.com/post/158/</guid> 
<description>
<![CDATA[ 
	<strong>splunk是什么？</strong><br/><div class="quote"><div class="quote-title">引用</div><div class="quote-content"><br/>&nbsp;&nbsp;&nbsp;&nbsp;Splunk 是一个运行于 Unix 环境下的日志分析软件.与 Google Analytics 这一类的 Web 日志分析软件的不同之处在于，Splunk 可以支持任何服务器产生的日志，其对日志进行处理的方式是进行高效索引之后让管理员可以对日志中出现的各种情况进行搜索，并且通过非常好的图形化的方式展现出来。<br/>&nbsp;&nbsp;&nbsp;&nbsp;每天由各种服务器所产生的日志的数量是非常惊人的，而遇到突发情况时，却往往能够从这些海量日志中找到最多的有用消息。通常在 Unix 下对日志进行查找使用的是 grep 之类的低效率的方式，而 Splunk 使用了现代搜索引擎技术对日志进行搜索，同时提供了一个非常强大的 AJAX 式的界面展现日志(文字来自互联网)。<br/></div></div><br/><strong>需关闭selinux</strong><br/><div class="quote"><div class="quote-title">引用</div><div class="quote-content"><br/>vi /etc/sysconfig/selinux<br/>SELINUX=disabled<br/>setenforce 0<br/></div></div><br/><strong>开始安装</strong><br/><div class="quote"><div class="quote-title">引用</div><div class="quote-content"><br/>wget http://download.splunk.com/releases/3.4.9/linux/splunk-3.4.9-57762-Linux-i686.tgz<br/>tar -zxvf splunk-3.4.9-57762-Linux-i686.tgz<br/>cd ..<br/>mv splunk /usr/local<br/>cd /usr/local/splunk/bin<br/>./splunk enable boot-start<br/>/etc/init.d/splunk start<br/></div></div><br/>netstat -an<br/>0.0.0.0:8000<br/>0.0.0.0:8089<br/>监听以上两个端口则完成安装。<br/><strong>界面截图</strong><br/><a href="http://www.quantrimang.com.vn/photos/image/052008/29/security-splunk.jpg" target="_blank"><img src="http://www.quantrimang.com.vn/photos/image/052008/29/security-splunk.jpg" class="insertimage" alt="点击在新窗口中浏览此图片" title="点击在新窗口中浏览此图片" border="0"/></a><br/>整合syslog<br/>添加syslog-ng步骤：<br/>在Admin->Data Inputs->Network Ports上点选New Input.选择TCP 9998 port, Set Source Type选Form List,Source Type选Syslog,这样的设定就可以给Syslog-ng传log了。<br/><br/>添加syslog步骤：<br/>再重复一次添加syslog-ng的步骤，但是端口要改成UDP 514就可以了。<br/><br/><strong>客户端</strong><br/><div class="quote"><div class="quote-title">引用</div><div class="quote-content"><br/>vi /etc/syslog.conf<br/>*.*&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;@192.168.0.100(log server ip)<br/></div></div><br/><strong>架构图</strong><br/><a href="http://www.igvita.com/posts/08/syslog-ng.png" target="_blank"><img src="http://www.igvita.com/posts/08/syslog-ng.png" class="insertimage" alt="点击在新窗口中浏览此图片" title="点击在新窗口中浏览此图片" border="0"/></a><br/>参考文章：<br/>http://deidara.blog.51cto.com/400447/102649<br/>http://www.linuxtone.org/html/74/t-1874.html<br/>http://jackiechen.blog.51cto.com/196075/150222<br/>http://viml.nchc.org.tw/blog/paper_info.php?CLASS_ID=1&SUB_ID=1&PAPER_ID=88<br/>http://chinaonrails.com/topic/view/1751.html<br/>http://www.igvita.com/2008/10/22/distributed-logging-syslog-ng-splunk/<br/>http://jackiechen.blog.51cto.com/196075/149860<br/>http://blog.sina.com.cn/s/blog_4a071ed80100cssu.html<br/>http://splunk.blog.51cto.com/711171/142667 <br/>Tags - <a href="https://blog.liuts.com/tags/splunk/" rel="tag">splunk</a> , <a href="https://blog.liuts.com/tags/syslog/" rel="tag">syslog</a>
]]>
</description>
</item>
</channel>
</rss>