Splunk Как мне получить системный журнал для отправки данных в Splunk с удаленных машин?

Question

Splunk Как мне получить системный журнал для отправки данных в Splunk с удаленных машин?

Если я установлю сервер перенаправления Splunk, я смогу получить удаленные данные в свою установку Splunk и проиндексировать свои журналы, и поиск будет отличным. Но у меня есть несколько маршрутизаторов и других устройств, которые запускают syslog и могут экспортировать свои журналы куда-нибудь.

Как я могу настроить Splunk для получения этих журналов, или есть какой-то другой обходной путь, который будет использоваться?

2

syslog splunk

Источник

Mister IT Guru 28 дек '11 в 22:36

4 ответа

Другие вопросы по тегам syslog splunk

Shane Madden 29 дек '11 в 01:28 2011-12-29 01:28 · Answer 1 · 2011-12-29 01:28

В конфигурации входов индексатора Splunk вы захотите настроить прослушиватель UDP на порту 514 с типом, установленным в syslog (что позволяет выяснить некоторые из полей системного журнала по умолчанию) и хост устанавливает источник трафика (что позволяет ему соответствующим образом устанавливать поле хоста для элементов журнала).

После этого любое стандартное устройство системного журнала может отправлять данные в индексатор Splunk, и Splunk с радостью примет их.

Eric 28 дек '11 в 22:42 2011-12-28 22:42 · Answer 2 · 2011-12-28 22:42

В Интернете довольно много статей о том, как настроить Splunk для приема соединений системного журнала. Вот тот, который я нашел с помощью простого поиска Google.

По сути, вы просто заходите в консоль управления Splunk и говорите ей принимать соединения через порт X с Y-машины. Это в основном говорит Splunk принять эти соединения. Теперь вам просто нужно перейти на каждое устройство и указать системный журнал этой системы на Splunk IP на правильном порту.

К вашему сведению - поиском Google, который я использовал, было: настроить Splunk для принятия системного журнала

Grandson Yates 28 сен '18 в 19:28 2018-09-28 19:28 · Answer 3 · 2018-09-28 19:28

Я знаю, что это старая ветка, но я просто комментирую всех, кто на нее наткнулся. Рекомендуемый подход заключается в передаче ваших данных системного журнала через сервер системного журнала, такой как syslog-ng или Rsyslog. Затем используйте Splunk Universal Forwarder, чтобы отслеживать файлы журналов и отправлять их на уровень индексации. Есть несколько причин, по которым не рекомендуется просто открывать сетевой порт на сервере пересылки / индексирования Splunk. Во-первых, из-за того, что UDP не имеет состояния, и каждый раз, когда Splunk нужно перезапускать, эти данные просто теряются. И Splunk должен быть перезапущен практически каждый раз, когда изменяется конфигурационный файл или устанавливается приложение. Во-вторых, Splunk должен быть запущен от имени пользователя root, чтобы принимать трафик через порты с номерами ниже 1024, что противоречит рекомендациям. Это также нарушает политику безопасности многих компаний.

dmourati 28 дек '11 в 22:43 2011-12-28 22:43 · Answer 4 · 2011-12-28 22:43

То, что я хотел бы, это двухэтапный процесс. Я хотел бы создать центральный сервер syslog/syslog-ng, который может объединить все журналы ваших маршрутизаторов и других устройств через syslog. Затем на этом центральном сервере syslog/syslog-ng запустите сервер пересылки Spunk, настройте его так, чтобы он привязывал соответствующий файл или файлы Syslog, которые вы настраиваете, и перенаправьте эти данные на ваш центральный сервер Spunk для индексации.

Еще один подход - сделать сервер syslog/syslog-ng тем же сервером, что и ваш центральный спанк. Это исключило бы один шаг пересылки.

Удачи!