Splunk — Linux Splunk Forwarder Yapılandırması
Linux Splunk Forwarder kurulumu için ilk olarak Splunk üzerinde receive forwarder aktif hale getirilmelidir.
Splunk forwarder varsayılan olarak 9997 nolu portu kullanmaktadır.
Settings menüsünden ilk olarak “Forwarding and receiving” sekmesine girilmelidir.
Karşımıza çıkan ekranda “Configure Receiving” butonu tıklanmalıdır.
“New receiving port” seçeneği seçilmelidir.
Dinlenecek porta 8888 yazılabilir.
Ve save butonuna basılarak kaydedilmelidir.
Victim makinada ise splunk forwarder kurularak logların iletilmesi işlemi başlatılacaktır.
/opt/splunkforwarder/bin klasörüne gidilerek aşağıdaki komut çalıştırılır.
./splunk add forward-server 10.10.10.140:8888
/opt/splunkforwarder/etc/system/local/input.conf dosyası aşağıdaki şekilde düzenlenmelidir.
./splunk restart ile servis yeniden başlatılmalıdır.
Search menüsünden “data summary” tıklanarak loglar görüntülenebilmektedir.
Access loglar aşağıdaki şekilde görüntülenmiştir.
Eğer bütün logların toplanması isteniyorsa konfigürasyon aşağıdaki şekilde güncellenmelidir:
Logların toplanması sonucu aşağıdaki şekildedir:
Splunk konusunda diğer yazılarımız:
