Splunk — Windows Splunk Forwarder Yapılandırması

Windows Splunk Forwarder kurulumu için ilk olarak Splunk üzerinde receive forwarder aktif hale getirilmelidir.

Splunk forwarder varsayılan olarak 9997 nolu portu kullanmaktadır.

Settings menüsünden ilk olarak “Forwarding and receiving” sekmesine girilmelidir.

Karşımıza çıkan ekranda “Configure Receiving” butonu tıklanmalıdır.

“New receiving port” seçeneği seçilmelidir.

Dinlenecek porta 8888 yazılabilir.

Ve “save” butonuna basılarak kaydedilmelidir.

Windowsta masaüstünde bulunan splunkforwarder.exe dosyasını çalıştırıyoruz.

Deployment Server kısmına Splunk IP adresi 10.10.10.140 port 8089 girilmelidir.

Karşımıza çıkan ekranda splunk IP adresi ve port bilgisini giriyoruz. Ve next butonuna basıyoruz.

Karşımıza çıkan ekranda “install” butonuna basarak devam ediyoruz.

“Finish” butonuna basarak kurulumu tamamlıyoruz.

Bir sonraki adımda Splunk üzerinden Settingsten “data input” alanına geliyoruz.

Karşımıza çıkan ekranda Windows Event Logs seçeneğini seçiyoruz.

“New Remote Windows Event Log” seçeneğini seçiyoruz.

Karşımıza çıkan ekranda windows hostu tıklayarak “next” butonuna basıyoruz.

Karşımıza çıkan ekranda almak istediğimiz logları seçiyoruz.

Indexlemenin varsayılan olarak kalmasını sağlıyoruz ve next butonuna basıyoruz.

Review kısmını gördükten sonra “submit” butonuna basıyoruz.

Windows loglarının geldiğini görebiliriz.