Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。 使用 Splunking 处理计算机数据，可让您在几分钟内解决问题和调查安全事件。

Splunk总是建议使用专用用户为此应用程序运行，而不是根用户。我创建了一个用户运行该应用程序，并创建了一个文件夹安装应用程序。

[root@server1tmp]#groupaddsplunk[root@server1tmp]#useradd-d/opt/splunk-m-gsplunksplunk[root@server1tmp]#su-splunk[splunk@server1~]$iduid=1001(splunk)gid=1001(splunk)groups=1001(splunk)Confirmtheserverarchitecture[splunk@server1~]$getconfLONG_BIT642.下载解压Splunk企业版

从Splunk官方网站下载Splunk软件，创建一个账户。 现在解压tar文件,将文件复制到/opt/splunk下已经创建splunk的应用程序文件夹下面。

root@server1tmp]#tar-xvfsplunk-6.4.0-f2c836328108-Linux-x86_64.tgz[root@server1tmp]#cp-rpsplunk/*/opt/splunk/[root@server1tmp]#chown-Rsplunk:/opt/splunk/3.安装Splunk

Splunk软件下载之后，您可以用您的Splunk用户登录运行安装脚本。我选择试用许可证，所以它会默认。

root@server1tmp]#su-splunkLastlogin:FriApr2908:14:12UTC2016onpts/0[splunk@server1~]$cdbin/[splunk@server1bin]$./splunkstart--accept-licenseThisappearstobeyourfirsttimerunningthisversionofSplunk.Copying'/opt/splunk/etc/openldap/ldap.conf.default'to'/opt/splunk/etc/openldap/ldap.conf'.GeneratingRSAprivatekey,1024bitlongmodulus.++++++..................++++++eis65537(0x10001)writingRSAkeyGeneratingRSAprivatekey,1024bitlongmodulus................++++++..++++++eis65537(0x10001)writingRSAkeyMoving'/opt/splunk/share/splunk/search_mrsparkle/modules.new'to'/opt/splunk/share/splunk/search_mrsparkle/modules'.Splunk>Australianforgrep.Checkingprerequisites...Checkinghttpport[8000]:openCheckingmgmtport[8089]:openCheckingappserverport[127.0.0.1:8065]:openCheckingkvstoreport[8191]:openCheckingconfiguration...Done.Creating:/opt/splunk/var/lib/splunkCreating:/opt/splunk/var/run/splunkCreating:/opt/splunk/var/run/splunk/appserver/i18nCreating:/opt/splunk/var/run/splunk/appserver/modules/static/cssCreating:/opt/splunk/var/run/splunk/uploadCreating:/opt/splunk/var/spool/splunkCreating:/opt/splunk/var/spool/dirmoncacheCreating:/opt/splunk/var/lib/splunk/authDbCreating:/opt/splunk/var/lib/splunk/hashDbCheckingcriticaldirectories...DoneCheckingindexes...Validated:_audit_internal_introspection_thefishbuckethistorymainsummaryDoneNewcertshavebeengeneratedin'/opt/splunk/etc/auth'.Checkingfilesystemcompatibility...DoneCheckingconffilesforproblems...DoneCheckingdefaultconffilesforedits...Validatinginstalledfilesagainsthashesfrom'/opt/splunk/splunk-6.4.0-f2c836328108-linux-2.6-x86_64-manifest'Allinstalledfilesintact.DoneAllpreliminarycheckspassed.Startingsplunkserverdaemon(splunkd)...Generatinga1024bitRSAprivatekey.....................++++++...........................++++++writingnewprivatekeyto'privKeySecure.pem'-----Signatureoksubject=/CN=server1.centos7-test.com/O=SplunkUserGettingCAPrivateKeywritingRSAkeyDone[OK]Waitingforwebserverathttp://127.0.0.1:8000tobeavailable....DoneIfyougetstuck,we'reheretohelp.Lookforanswershere:http://docs.splunk.comTheSplunkwebinterfaceisathttp://server1.centos7-test.com:8000

现在您可以访问您的Splunk Web界面http://IP:8000 /或http://hostname:8000，您需要确保这个端口8000在您服务器防火墙上面开放。

我已经完成Splunk的安装，Splunk服务在我的服务器中正常运行。现在我需要设置我Splunk Web界面，使用我设置的管理员密码访问Splunk web界面。 第一次当您访问Splunk的界面，你在页面中使用的是管理员用户和密码。一旦登录，就在下一页，它会要求更改和确认您的新密码。 现在，您已经设置新的管理员密码。一旦您使用新密码登录，您将有准备使用的Splunk仪表板。 在主页上列出了不同的类别，您可以选择所需的一个开始splunking。

我要加入一个例子为一个简单的任务，它被添加到 Splunk 系统。只是看到我的快照，以了解我将如何添加它。我的任务是将 /var/log文件夹添加到Splunk系统的监测。

1.打开Splunk Web界面，并在设置选项卡上单击 > > 选择添加数据选项

2.在这里我们的任务是监视文件夹，所以我们继续监视。

在监视器选项，有下图所示的四个类别：

文件与目录：监视文件/文件夹

HTTP事件收集器：监视通过HTTP的数据流

TCP/UDP：监视服务端口

脚本：监控脚本

3.根据我们的目的，我选择文件及目录选项。

4.从需要监视的服务器选择确切的文件夹路径。

5.现在你可以开始搜索和监测作为所需的日志文件。

在服务器上你可以看到我的日志被缩小到一个应用程序。