standalone과 universal forwarder 서버를 각각 구성하여
forwarder에서 standalone으로 데이터 보내기!!
splunk 수신 설정
설정 → 전달 및 수신 → 데이터 수신 → 수신 설정 → 새 수신 포트
포트 9997 입력 → 저장
search - index 설정
설정 → 인덱스 → 새로 만들기 인덱스
→ 저장
search - source type 설정
설정 → 데이터 추가 → 업로드 내 컴퓨터 파일 → 파일 선택 → new1.txt 선택 → 다음
이벤트 구분 → 모든 행 선택
→ 다음
→ 저장 → 인덱스 : idx01_type01 선택 → 검토 → 제출
Forwarder - indexer 설정
# cd /opt/splunkforwarder/bin/
# ./splunk set deploy-poll 192.168.200.101:8089
# ./splunk add forward-server 192.168.200.101:9997
#./splunk add monitor /var/log
# vi /opt/splunkforwarder/etc/system/local/outputs.conf
[tcpout]
defaultGroup = default-autolb-group
[tcpout:default-autolb-group]
server = 192.168.200.101:9997
[tcpout-server://192.168.200.101:9997]
Forwarder - Directory(Path) 설정
먼저 /root/ 위치에 new1.txt 파일을 생성해준다.
vi /opt/splunkforwarder/etc/system/local/inputs.conf
[monitor:///root/*.txt]
index=index01
sourcetype=soty01
disable=0
vi /opt/splunkforwarder/etc/apps/search/local/inputs.conf
[monitor:///root/*.txt]
index=index01
sourcetype=soty01
disable=0
검색 되는지 확인
forwarder에서 search로 데이터 보내기 성공! ! !
splunk