splunk入门笔记

#http://www.freebuf.com/articles/database/123006.html

wget -c https://download.splunk.com/products/splunk/releases/6.5.1/linux/splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz
tar -zxvf splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz
cd /splunk/bin/ && ./splunk start –accept-license

./splunk
#start //启动splunk
#–accept-license //自动接收许可
#restart //重启splunk
#status //查看splunk状态
#version //查看splunk版

http://127.0.0.1:8000
#默认8000端口
#进入splunk默认的管理员为:admin 密码为changeme;第一登录便会强制要求修改密码

#SSL配置
./splunk enable web-ssl //启用SSL
./splunk disable web-ssl //禁用SSL

#默认字段:
#index(指定特定索引),
#host(指定host 主机),
#sourcetype(数据源类型),
#source(日志文件路径)

#source=”access_log” host=”0535coder” sourcetype=”access_combined” #默认出来的搜索
#source=”tutorialdata.zip:*” index=”tutorialdata” #字段列表
##########source设置日志路径,host设置主机名,index设置索引名
##########当一份日志含有多个域名时,用index做区分

source=”access_log” host=”0535coder” | top clientip #客户端ip top10
source=”access_log” host=”0535coder” status > 200 | stats count by status # response stats top

index=*** uri=”*/login/userlogin.shtml*” | top ip #top ip

source=”logs.zip:*” index=”tutorialdata” sourcetype=access_common clientip=”127.0.0.1″ select sleep

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.