我需要打开一些防火墙端口,以便我们服务器上的splunk代理可以与Splunk通信。
我们的splunk设置分为以下服务和端口:
Splunk Web/API 443, 8009, 8090, 8089
Splunk Cluster Master 8000, 8001
Splunk Deployment Server 8000, 8002, 8089
Splunk Intermediate Forwarder TCP:6514:6514,6515,6516
TCP:514:10514,10515,10516
TCP:9997:9997,9998,9999
TCP:11514:11514
TCP:11515:11515
TCP:11516:11516
TCP:11517:11517
我需要打开哪些端口,以便splunk代理可以将日志发送到splunk服务器?那么您在配置中指定的来自该服务器的所有日志都将显示在splunk界面中?
基线:货代需要连接到indexer:9997和deployment-server:8089。这些是角色。 indexer也可以是“胖转发者”。
BTW:
所有管理功能(部署,许可等)都发生在端口8089上。 Splunk的默认数据提取端口通常为9997,soooo ...
这是为了获取数据。如果您的复制数据,或具有搜索头群集或群集主数据,情况会有所不同。
端口8000用于访问Splunk Web,端口8090通常是任何Splunk CORE设备上HTTP输入的默认端口。
之后,端口看起来自定义保存514(syslog)。您可能需要深入了解部署并找出这些端口上的内容。