نصب و پیکربندی Splunk Universal Forwarder

ابتدا در این مقاله توضیحی کوتاه در مورد universal Forwarder ارائه می شود و در قسمت بعدی  به نحوه نصب و پیکربندی با Deployer Server می‌پردازیم.

Splunk Universal Forwarder یکی از قابلیت‌های است که پلتفرم اسپلانک در اختیار کاربران خود می‌گزارد و بهترین مکانیسم برای جمع‌آوری داده‌ها از سرورها و سیستم‌های End point است و برای دریافت داده‌ها از سیستم موردنظر است.

 نصب universal forwarder با تنظیمات پیش‌فرض

  1. ابتدا Universal Forwarder را از سایت Splunk.com دانلود کنید.
  2. برای شروع نصب باید بروی فایل MSI دو بار کلیک کنید.
  3. با بازشدن پنجره زیر شما باید گزینه License Agreement را فعال کنید شما می‌توانید با کلیک بر روی View License Agreement لایسنس‌های مربوطه را مشاهده کنید که این مورد اختیاری است.

نصب Splunk Universal Forwarder

شما می‌توانید با برای تغییر هر یک از تنظیمات پیش‌فرض در مرحله نصب، روی قسمت «Customize Options» کلیک کنید و گزینه‌های سفارشی را ببینید. در غیر این صورت بر روی Install کلیک کنید تا نرم‌افزار با پیش‌فرض نصب شود که در ادامه به نحوه سفارشی کردن universal Forwarder می‌پردازیم.

  1. در مرحله قبل با کلیک بر روی گزینه next با پنجره زیر روبه‌رو می‌شوید که در این قسمت باید محل نصب universal Forwarder را مشخص می‌کنید که به طور پیش‌فرض در این محل ذخیره می‌شود.
C:\Program Files\SplunkUniversalForwarder
  1. شما می‌توانید به طور دلخواه یک گواهی SSL را برای تأیید هویت این سیستم انتخاب کنید. بسته به الزامات گواهی شما، ممکن است لازم باشد یک رمز عبور و یک گواهی مرجع هویت تعیین کنید. اگرنه، این فیلدها را می‌توانید خالی بگذارید.

نصب Splunk Universal Forwarder

  1. در مرحله بعدی می‌توانید تیک گزینه Local System یا Domain Account را انتخاب کرده و روی Next کلیک کنید. اگر Local System را مشخص کنید، پنجره Enable Windows Inputs را نمایش داده می‌شود. اگر Domain Account را مشخص کنید، پنجره‌ای که در آن اطلاعات دامنه و کاربر را وارد می‌کنید ظاهر می‌شود.

نصب Splunk Universal Forwarder

  1. با انتخاب گزینه Local System پنجره جدیدی باز می‌شود که شما باید یک User Name  و Password  موردنظر را وارد می‌کنید. اما اگر شما گزینه Domain Account  را انتخاب کرده باشید در قسمت User Name  باید با این فرمت (domain\username format only) نام کاربری را مشخص کنید و بعد Password  و تأیید آن را وارد کنید.

نصب Splunk Universal Forwarder

  1. در پنجره بعدی که باز می‌شود شما به اختیار خود می‌توانید از یک یا چند مورد که داخل لیست مشخص شده است به‌دلخواه انتخاب کنید که از کدام ورودی‌های ویندوز داده‌ها را جمع‌آوری کنید.
  2. در این مرحله باید برای کاربر موردنظر خود یک نام کاربری و یک پسورد بسازید.

نصب Splunk Universal Forwarder

  1. در مرحله بعدی باید نام یا آدرس IP ، Deployment Server  خود را با پورتی که معمولاً در حالت پیش‌فرض 8089 معین می‌شود را وارد کنید.
  2. در مرحله بعدی باید آدرس IP و پورت باز روی Indexer خود را وارد کنید و بر روی Next  کلیک کنید.

نصب Splunk Universal Forwarderو در نهایت بر روی گزینه install کلیک کنید.

نحوه اعتبارسنجی ارتباط Universal Forwarder با Deployment Server

یکی از رایج‌ترین مشکلاتی که می‌بینید این است که Deployment Server در شبکه قابل‌دسترس نیست. ممکن است نتیجه یک مشکل DNS یا یک قانون فایروال باشد که از اتصال در پورت استفاده شده که معمولاً TCP/8089 است، جلوگیری می‌کند. برای رفع این مشکل ابتدا باید پینگ Deployment Server را بگیرید و با داشتن پینگ شما می‌توانید با واردکردن آدرس IP و پورت Deployment server خود در مرورگر از سلامت ارتباط مطمئن شوید، اگر تصویری مانند عکس زیر مشاهده کنید این به این معنا است که ارتباط شما مشکلی ندارد.

نصب Splunk Universal Forwarder

اضافه‌کردن channel log یا داده‌های دریافتی از یک App به Universal Forwarder

برای اینکه بتوانید توسط universal Forwarder  که بر روی سیستم خود نصب دارید، داده‌های خاصی را در یافت کنید و به سمت Deployment Server خود بفرستید. باید ابتدا App  موردنظر خود را از سایت splunk دانلود کنید در مسیر زیر قرار دهید.

C:\Program Files\SplunkUniversalForwarder\etc\apps

به طور مثال اگر بخواهید Splunk_TA_windows  را بر روی سیستم خود نصب کنید باید از سایت اسپلانک دانلود می‌کنید و در مسیر C:\Program Files\SplunkUniversalForwarder\etc\apps قرار می‌دهید با واردشدن به پوشه Splunk_TA_windows می‌توانید به پوشه local بروید و فایل Input.conf  را باز کنید و مقادیر آن را تغییر دهید تا بتوانید داده‌ها مدنظر خود را دریافت کنید.

همین‌طور که در تصاویر زیر مشخص است شما می‌توانید تغییرات موردنظر خود را اعمال کنید به طور مثال اگر بخواهید لاگ قسمتی را در یافت کنید باید disabled = 0 قرار دهید و نام یا آدرس ip، indexeی که قرار است داده‌ها به سمت آن ارسال شود را وارد کنید یا حتی Block listi  تهیه کنید از داده‌های که به آن‌ها نیاز ندارید.

نصب Splunk Universal Forwarder

پیکربندی universal Forwarder با استفاده CLI

در این بخش به انواع پیکربندی Universal Forwarder با روش‌های مختلف می‌پردازیم.

پیکربندی universal Forwarder  با Indexerها

با استفاده از یک خط فرمان کامند زیر را اجرا کنید:

./splunk add forward-server :<listening port>

به‌عنوان‌مثال، برای اتصال به indexerها  با نام idx.mycompany.com و به پورت 9997 برای فورواردرها گوش می‌دهد، تایپ کنید:

./splunk add forward-server idx1.mycompany.com:9997

پیکر بندی universal Forwarder با استفاده Deployment Server

 برای پیکربندی می‌توانید از Deployment Server استفاده که می‌تواند توزیع پیکربندی‌ها را آسان کند، اما به تنهای اطلاعات ارسال‌کننده را ایجاد نمی‌کند. شما باید از Deployment Server برای ارائه تنظیمات به فورواردها استفاده کنید تا آنها داده‌های موردنظر شما را جمع‌آوری کرده و به مکان موردنظر شما ارسال کنند.

با استفاده از یک خط فرمان کامند زیر را اجرا کنید:

./splunk set deploy-poll <host name or ip address>:<management port>

برای مثال، اگر می‌خواهید با نام میزبان ds1.mycompany.com با پورت پیش‌فرض 8089 به سرور Deployment متصل شوید، تایپ کنید:

./splunk set deploy-poll ds1.mycompany.com:8089