نصب و پیکربندی Splunk Universal Forwarder
ابتدا در این مقاله توضیحی کوتاه در مورد universal Forwarder ارائه می شود و در قسمت بعدی به نحوه نصب و پیکربندی با Deployer Server میپردازیم.
Splunk Universal Forwarder یکی از قابلیتهای است که پلتفرم اسپلانک در اختیار کاربران خود میگزارد و بهترین مکانیسم برای جمعآوری دادهها از سرورها و سیستمهای End point است و برای دریافت دادهها از سیستم موردنظر است.
نصب universal forwarder با تنظیمات پیشفرض
- ابتدا Universal Forwarder را از سایت Splunk.com دانلود کنید.
- برای شروع نصب باید بروی فایل MSI دو بار کلیک کنید.
- با بازشدن پنجره زیر شما باید گزینه License Agreement را فعال کنید شما میتوانید با کلیک بر روی View License Agreement لایسنسهای مربوطه را مشاهده کنید که این مورد اختیاری است.
شما میتوانید با برای تغییر هر یک از تنظیمات پیشفرض در مرحله نصب، روی قسمت «Customize Options» کلیک کنید و گزینههای سفارشی را ببینید. در غیر این صورت بر روی Install کلیک کنید تا نرمافزار با پیشفرض نصب شود که در ادامه به نحوه سفارشی کردن universal Forwarder میپردازیم.
- در مرحله قبل با کلیک بر روی گزینه next با پنجره زیر روبهرو میشوید که در این قسمت باید محل نصب universal Forwarder را مشخص میکنید که به طور پیشفرض در این محل ذخیره میشود.
C:\Program Files\SplunkUniversalForwarder
- شما میتوانید به طور دلخواه یک گواهی SSL را برای تأیید هویت این سیستم انتخاب کنید. بسته به الزامات گواهی شما، ممکن است لازم باشد یک رمز عبور و یک گواهی مرجع هویت تعیین کنید. اگرنه، این فیلدها را میتوانید خالی بگذارید.
- در مرحله بعدی میتوانید تیک گزینه Local System یا Domain Account را انتخاب کرده و روی Next کلیک کنید. اگر Local System را مشخص کنید، پنجره Enable Windows Inputs را نمایش داده میشود. اگر Domain Account را مشخص کنید، پنجرهای که در آن اطلاعات دامنه و کاربر را وارد میکنید ظاهر میشود.
- با انتخاب گزینه Local System پنجره جدیدی باز میشود که شما باید یک User Name و Password موردنظر را وارد میکنید. اما اگر شما گزینه Domain Account را انتخاب کرده باشید در قسمت User Name باید با این فرمت (domain\username format only) نام کاربری را مشخص کنید و بعد Password و تأیید آن را وارد کنید.
- در پنجره بعدی که باز میشود شما به اختیار خود میتوانید از یک یا چند مورد که داخل لیست مشخص شده است بهدلخواه انتخاب کنید که از کدام ورودیهای ویندوز دادهها را جمعآوری کنید.
- در این مرحله باید برای کاربر موردنظر خود یک نام کاربری و یک پسورد بسازید.
- در مرحله بعدی باید نام یا آدرس IP ، Deployment Server خود را با پورتی که معمولاً در حالت پیشفرض 8089 معین میشود را وارد کنید.
- در مرحله بعدی باید آدرس IP و پورت باز روی Indexer خود را وارد کنید و بر روی Next کلیک کنید.
و در نهایت بر روی گزینه install کلیک کنید.
نحوه اعتبارسنجی ارتباط Universal Forwarder با Deployment Server
یکی از رایجترین مشکلاتی که میبینید این است که Deployment Server در شبکه قابلدسترس نیست. ممکن است نتیجه یک مشکل DNS یا یک قانون فایروال باشد که از اتصال در پورت استفاده شده که معمولاً TCP/8089 است، جلوگیری میکند. برای رفع این مشکل ابتدا باید پینگ Deployment Server را بگیرید و با داشتن پینگ شما میتوانید با واردکردن آدرس IP و پورت Deployment server خود در مرورگر از سلامت ارتباط مطمئن شوید، اگر تصویری مانند عکس زیر مشاهده کنید این به این معنا است که ارتباط شما مشکلی ندارد.
اضافهکردن channel log یا دادههای دریافتی از یک App به Universal Forwarder
برای اینکه بتوانید توسط universal Forwarder که بر روی سیستم خود نصب دارید، دادههای خاصی را در یافت کنید و به سمت Deployment Server خود بفرستید. باید ابتدا App موردنظر خود را از سایت splunk دانلود کنید در مسیر زیر قرار دهید.
C:\Program Files\SplunkUniversalForwarder\etc\apps
به طور مثال اگر بخواهید Splunk_TA_windows را بر روی سیستم خود نصب کنید باید از سایت اسپلانک دانلود میکنید و در مسیر C:\Program Files\SplunkUniversalForwarder\etc\apps قرار میدهید با واردشدن به پوشه Splunk_TA_windows میتوانید به پوشه local بروید و فایل Input.conf را باز کنید و مقادیر آن را تغییر دهید تا بتوانید دادهها مدنظر خود را دریافت کنید.
همینطور که در تصاویر زیر مشخص است شما میتوانید تغییرات موردنظر خود را اعمال کنید به طور مثال اگر بخواهید لاگ قسمتی را در یافت کنید باید disabled = 0 قرار دهید و نام یا آدرس ip، indexeی که قرار است دادهها به سمت آن ارسال شود را وارد کنید یا حتی Block listi تهیه کنید از دادههای که به آنها نیاز ندارید.
پیکربندی universal Forwarder با استفاده CLI
در این بخش به انواع پیکربندی Universal Forwarder با روشهای مختلف میپردازیم.
پیکربندی universal Forwarder با Indexerها
با استفاده از یک خط فرمان کامند زیر را اجرا کنید:
./splunk add forward-server :<listening port>
بهعنوانمثال، برای اتصال به indexerها با نام idx.mycompany.com و به پورت 9997 برای فورواردرها گوش میدهد، تایپ کنید:
./splunk add forward-server idx1.mycompany.com:9997
پیکر بندی universal Forwarder با استفاده Deployment Server
برای پیکربندی میتوانید از Deployment Server استفاده که میتواند توزیع پیکربندیها را آسان کند، اما به تنهای اطلاعات ارسالکننده را ایجاد نمیکند. شما باید از Deployment Server برای ارائه تنظیمات به فورواردها استفاده کنید تا آنها دادههای موردنظر شما را جمعآوری کرده و به مکان موردنظر شما ارسال کنند.
با استفاده از یک خط فرمان کامند زیر را اجرا کنید:
./splunk set deploy-poll <host name or ip address>:<management port>
برای مثال، اگر میخواهید با نام میزبان ds1.mycompany.com با پورت پیشفرض 8089 به سرور Deployment متصل شوید، تایپ کنید:
./splunk set deploy-poll ds1.mycompany.com:8089
میلاد
1402/11/10سلام خسته نباشین
من splunk enterprise به عنوان سرور روی هاست خودم نصب کردم که به صورت لوکال هاست با پورت 8000 بالا میبینمش
و UF هم در ویندوز 10 در ماشین مجازی نصب کردم مشکلی که هست نمیدونم مرحله 10 و 11 توضیحاتتون یعنی (
در مرحله بعدی باید نام یا آدرس IP ، Deployment Server خود را با پورتی که معمولاً در حالت پیشفرض 8089 معین میشود را وارد کنید.
در مرحله بعدی باید آدرس IP و پورت باز روی Indexer خود را وارد کنید و بر روی Next کلیک کنید.
) دقیقا چی وارد کنم
در ضمن من از هر دو طرف ping دارم
ممنون میشم راهنمایی کنین