Я установил Splunk версии 7.3.2 на один сервер. Я установил Splunk forwarder версии 7.3.2 на второй сервер. Оба сервера работают под управлением Ubuntu 18.
На сервере пересылки Splunk я выполнил следующие команды:
sudo /opt/splunkforwarder/bin/splunk add monitor /var/log/syslog -index main -sourcetype %app%
sudo /opt/splunkforwarder/bin/splunk add forward-server x.x.x.x:9997
(где xxxx - это IP-адрес сервера Splunk)
sudo /opt/splunk/bin/splunk start
Я попытался перезагрузить оба сервера и перезапустить Splunk на обоих.
На панели мониторинга Splunk я хочу увидеть некоторые признаки журналов с сервера с помощью сервера пересылки. Но я не вижу ничего. Я вхожу в веб-интерфейс, я иду в Настройки -> Консоль мониторинга -> Индексирование -> Индексы и производительность. Существует раскрывающееся меню «Экземпляр». Но единственный вариант, который я вижу, это сервер Splunk. Я не вижу сервер пересылки.
Если я захожу в Data Inputs в веб-интерфейсе, я не могу нажать «Далее».
Как я могу увидеть некоторые доказательства того, что веб-интерфейс Splunk получаетданные от сервера пересылки Splunk?
Я проверяю сетевое соединение, и ничто не блокирует связь TCP / IP между ними. Я ожидаю увидеть некоторые перенаправленные данные в Splunk (на главном сервере Splunk), но я этого не вижу. Что мне делать?
Редактировать: через веб-интерфейс для Splunk я настроил порт прослушивания для переадресации на порт 9997. При запуске splunk enable listen 9997 я получаю
Не удалось создать,Конфигурация для порта 9997. уже существует.
Обновление 10/9/19
Связь настроена через порт 9997 между двумя серверами. Я использовал nmap для тестирования этого порта на обоих серверах, используя внутренние и внешние IP-адреса. Ничего не фильтруется через этот порт. Поэтому я совершенно уверен, что не виноваты ни правила брандмауэра, ни механизмы безопасности. На самом деле, в журнале внутренних сообщений Spunk для основного сервера Splunk была зарегистрирована некоторая активность сервера пересылки Splunk.
Я пытаюсь проиндексировать / var / log / * на моем сервере пересылки Splunk. Вот выдержка из /opt/splunkforwarder/var/log/splunk/splunkd.log:
10-10-2019 00: 21: 18.059 +0000 INFO WatchedFile - чтение начнется со смещения =4835872 для файла = '/ var / log / sampleoct.log'. ... 10-10-2019 00: 22: 10.944 +0000 WARN FileClassifierManager - Файл '/var/log/.test123.swp' недействителен. Причина: двоичная10-10-2019 00: 22: 10.944 +0000 INFO TailReader - Игнорирование файла '/var/log/.test123.swp' из-за: двоичного файла 10-10-2019 00: 22: 10.945 +0000 WARN FileClassifierManager - Файл '/var/log/.test123.swp 'недействителен. Причина: двоичная... 10-10-2019 00: 30: 50.948 +0000 INFO TailReader - Игнорирование файла '/var/log/journal/94b0369aaba948b4b6a6b43288cee7e6/system.journal' из-за: двоичного
In / var/ log / есть недвоичный файл текста, который я создал. Это 106 КБ. На сервере Splunk я не вижу доказательств того, что работает второй экземпляр (например, сервер пересылки Splunk).
На сервере Splunk я вижу это в / opt / splunk / var / log / splunk / splunkd. log:
10-10-2019 00: 21: 09.930 +0000 WARN DateParserVerbose - допустимое время (вт 8, 16:59:22 2019) подозрительно далеко от времени предыдущего события (ср. 9 октября 23:48:21 2019), но все же принято, потому что оно было извлечено по той же схеме. Контекст: source = / var / log / test123123 | host = ip-123-123-123-1 | %% app %% | 125 10-10-2019 00: 22: 31.288 +0000 WARN AggregatorMiningProcessor - Событие прерывания из-за ограниченияПревышено 256 - data_source = "/ var / log / test123", data_host = "ip-123-123-123-1", data_sourcetype = "% app%" 10-10-2019 00: 22: 31.288 +0000 WARNAggregatorMiningProcessor - изменение поведения прерывания для потока событий, поскольку MAX_EVENTS (256) было превышено без одного прерывания события. Устанавливает BREAK_ONLY_BEFORE_DATE в False и отменяет любые правила MUST_NOT_BREAK_BEFORE или MUST_NOT_BREAK_AFTER. Обычно это будет означать, что эти данные будут обрабатываться только как однострочные. - data_source = "/ var / log / test123", data_host = "ip-123-123-123-1", data_sourcetype = "% app%"
Где в веб-интерфейсе искать этот файл журнала? Кажется, что он может быть проиндексирован, но я не могу его найти.