如何让Splunk转发器与主Splunk服务器一起使用?

问题描述 投票:2回答:2

我在一台服务器上安装了Splunk版本7.3.2。我在第二台服务器上安装了Splunk转发器版本7.3.2。两台服务器都运行Ubuntu 18。

在Splunk转发器上,我运行了以下命令:

sudo /opt/splunkforwarder/bin/splunk add monitor /var/log/syslog -index main -sourcetype %app%

sudo /opt/splunkforwarder/bin/splunk add forward-server x.x.x.x:9997

((其中x.x.x.x是Splunk服务器的IP地址)

sudo /opt/splunk/bin/splunk start

我尝试重新启动两个服务器并在两个服务器上重新启动Splunk。

从Splunk仪表板,我希望看到带有转发器的服务器日志的指示。但是我没看到。我登录到Web UI,然后转到“设置”->“监视控制台”->“索引编制”->“索引和性能”。有一个“实例”下拉菜单。但是我看到的唯一选择是Splunk服务器。我看不到货运代理。

如果我在Web UI中转到“数据输入”,则无法单击“下一步”。

我如何看到Splunk Web UI正在从Splunk转发器接收数据的证据?

我检查网络连接,没有任何东西阻止两者之间的TCP / IP通信。我希望在Splunk中(在Splunk主服务器上)看到一些转发的数据,但是我没有看到。我该怎么办?

编辑:通过Splunk的Web UI,我为端口9997上的转发配置了侦听端口。通过运行splunk enable listen 9997,我得到

创建失败。端口9997的配置已存在。

于19/10/9更新

通过两台服务器之间的端口9997配置连接。我已经使用nmap在使用内部和外部IP地址的服务器之间来回测试该端口。此端口上没有任何内容被过滤。因此,我很确定没有防火墙规则或安全机制应受指责。实际上,主splunk服务器的后端splunk日志已经注册了Splunk转发器的某些活动。

我正在尝试在Splunk转发器服务器上索引/ var / log / *。以下是/opt/splunkforwarder/var/log/splunk/splunkd.log的摘录:

10-10-2019 00:21:18.059 +0000 INFO WatchedFile-将开始阅读对于文件='/ var / log / sampleoct.log'在offset = 4835872处。 ... 10-10-201900:22:10.944 +0000 WARN FileClassifierManager-文件'/var/log/.test123.swp'无效。原因:二进制。 10-10-201900:22:10.944 +0000 INFO TailReader-忽略文件'/var/log/.test123.swp'由于:二进制10-10-2019 00:22:10.945 +0000WARN FileClassifierManager-文件'/var/log/.test123.swp'为无效。原因:二进制。 ... 10-10-2019 00:30:50.948 +0000 INFOTailReader-忽略文件'/var/log/journal/94b0369aaba948b4b6a6b43288cee7e6/system.journal'到期到:二进制

/ var / log /中有一个我创建的非二进制文本文件。大小为106 KB。在Splunk服务器上,我看不到任何证据表明第二个实例(例如,Splunk转发器)正在运行。

在Splunk服务器上,我在/opt/splunk/var/log/splunk/splunkd.log中看到此内容:

10-10-2019 00:21:09.930 +0000 WARN DateParserVerbose-接受时间(2019年10月8日星期二16:59:22)与前一个相距遥远活动时间(2019年10月9日星期三23:48:21),但仍被接受,因为以相同的模式提取。内容:源= / var / log / test123123 |主机= ip-123-123-123-1 | %% app %% | 12510-10-2019 00:22:31.288 +0000 WARN AggregatorMiningProcessor-中断事件,因为已超过256个限制-data_source =“ / var / log / test123”,data_host =“ ip-123-123-123-1”,data_sourcetype =“%app%” 10-10-2019 00:22:31.288 +0000警告AggregatorMiningProcessor-更改事件的中断行为流,因为没有单个事件就超过了MAX_EVENTS(256)打破。将BREAK_ONLY_BEFORE_DATE设置为False,并取消设置任何MUST_NOT_BREAK_BEFORE或MUST_NOT_BREAK_AFTER规则。通常这等于将这些数据视为单行。 --data_source =“ / var / log / test123”,data_host =“ ip-123-123-123-1”,data_sourcetype =“%app%”

我应该在Web UI的何处查找此日志文件?似乎它可能已被索引,但我找不到它。

我在一台服务器上安装了Splunk版本7.3.2。我在第二台服务器上安装了Splunk转发器版本7.3.2。两台服务器都在运行Ubuntu18。在Splunk转发器上,我运行了这些...

splunk
2个回答
1
投票

在Splunk Indexer上,您需要告诉它侦听Splunk流量。您可以通过在命令行中输入splunk enable listen 9997来执行此操作。


0
投票

您确定实例上没有本地防火墙吗?您能否从转发器中提供splunkd.log文件,因为它将获得有关数据为何不流动的信息。这可能是读取文件时的权限问题,由于本地防火墙或路由引起的网络问题或其他一些问题。

© www.soinside.com 2019 - 2024. All rights reserved.