Splunk, Как я заставляю системный журнал отправлять данные в splunk от удаленных машин
Аппаратные средства USB диска могли бы на самом деле начинать перестать работать.
В конфигурации входов индексатора Splunk вам нужно настроить прослушиватель UDP на порт 514 с типом, установленным на syslog (что позволяет ему определять некоторые полей системного журнала по умолчанию) и хост, установленный в качестве источника трафика (что позволяет ему соответствующим образом установить поле хоста для элементов журнала).
Как только это будет сделано, любое стандартное устройство системного журнала сможет отправлять данные в Splunk indexer, и Splunk с радостью примет его.
There are quite a few articles online on how to set up Splunk to accept syslog connections. Here is one that I found with a simple Google search.
You basically just go into Splunk's management console and tell it to accept connections on X port from Y machine. That basically tells Splunk to accept those connections. Now you just have to go to each device and point that system's syslog to the Splunk IP on the correct port.
FYI - The Google search I used was: configure splunk to accept syslog
What I would to is a two step process. I would create a central syslog/syslog-ng server that can coalesce all your routers and other devices logs via syslog. Then, on that central syslog/syslog-ng server, run the splunk forwarder, configure it to tail the appropriate syslog file or files you configure, and forward that data to your central splunk server for indexing.
One other approach would be to make the syslog/syslog-ng server the same server as your central splunk. That would eliminate one forwarding step.
Good luck!
Я знаю, что это старая ветка, но просто комментирую для всех, кто наткнется на нее. Рекомендуемый подход - направлять данные системного журнала через сервер системного журнала, например syslog-ng или Rsyslog. Затем используйте универсальный сервер пересылки Splunk для отслеживания файлов журнала и отправки на уровень индексации. Есть несколько причин, по которым не рекомендуется просто открывать сетевой порт на перенаправителе / индексаторе Splunk. Во-первых, UDP не имеет состояния, и каждый раз при перезапуске Splunk эти данные просто теряются. И Splunk необходимо перезапускать практически каждый раз, когда изменяется файл конфигурации или устанавливается приложение. Во-вторых, Splunk должен быть запущен от имени пользователя root, чтобы принимать трафик на портах ниже 1024, а это противоречит передовой практике. Это также нарушает политику безопасности многих компаний.