Splunk_命令教学

Splunk测试工具学习任务目录目录 (2)一．Splunk基础知识 (4)二．Splunk的功能特性 (5)1. 多平台支持 (5)2. 从任意源索引任意数据 (5)3. 从远程系统转发数据 (5)4. 关联复杂事件 (6)5. 专为大型数据构建 (6)6. 在整个数据中心扩展 (6)7. 提供角色行的安全性 (6)三．Splunk导览 (7)1. 索引任何数据 (7)2. 搜索与调查 (8)3. 与搜索结果互动 (8)4. 新增知识 (9)5. 关联复杂事件 (9)6. 监视和警报 (10)7. 报告与分析 (10)8. 自定义仪表板与视图 (11)9. 构建于部署Splunk应用程序 (11)四．Splunk各版本之间的功能比较 (12)五．Splunk的独特优势 (14)1、无风险快速回报 (14)2、受到用户喜爱 (14)3、处理您所有的机器数据 (14)4、适应动态环境 (14)5、适用于所有类型的用户 (15)6、满足整个IT 行业的策略需求 (15)7、从笔记本电脑扩展至数据中心 (15)六．Splunk安装过程 (16)1. 客户端下载地址： (16)2. 双击，开始安装： (16)3. 打开客户端，端口号配置： (20)4. Splunk配置过程 (20)5. 重启Splunk服务 (20)6. 客户端计算机名称 (22)七．Splunk的使用 (23)1. 登录Splunk (23)2. 欢迎使用界面 (23)2.1 欢迎标签： (24)3. 在Splunk中添加数据 (24)3.1 向Splunk中添加示例数据 (24)4. 开始在Splunk中搜索数据 (31)4.1 摘要仪表板 (32)4.2 仪表板涵盖的内容 (32)4.3 开始搜索 (33)4.4 搜索结果显示 (34)4.5 Splunk停止搜索 (35)4.6 搜索助手 (35)4.7 搜索结果中的关键字高亮 (36)5. 使用时间轴 (36)5.1 搜索 (36)5.2 滑动鼠标，选中一个柱状体 (36)5.3 双击一个柱状体 (37)5.4 通配符* (37)5.5 字段菜单 (38)6. 字段选取 (38)6.1 在字段菜单中点击“字段选取”链接 (38)6.2 滚动浏览可见字段列表 (39)八．字段值报表 (40)8.1 使用字段菜单 (40)8.2 访问报表创建器 (41)8.3 实例：失败交易计数 (42)九．仪表板 (47)9.1 创建仪表板 (47)9.2 定义仪表板面板搜索 (48)十．性能指标的添加和搜索 (49)10.1 添加数据，选择Windows性能指标 (49)10.2 开始在本机上进行Windows性能指标收集 (49)10.3 开始搜索 (51)10.4 查看搜索结果 (52)十一．IIS日志的添加和搜索 (53)11.1 添加数据，选择添加IIS日志 (53)11.2 开始在本地Splunk搜索服务器上的IIS日志 (53)11.3 开始搜索iis日志文件 (56)11.4 查看搜索结果 (57)总结 (58)一．Splunk基础知识Splunk 是机器数据的引擎。

splunk命令行操作以及相关信息OU=xdf_users OU=xindongfang DC=yunjm DC=contoso DC=com 用户OU=xindongfang DC=yunjm DC=contoso DC=com 组****磁盘中VM********************====================================== ========================================= ========Splunk-Master inet addr:192.168.154.140 Bcast:192.168.154.255 Mask:255.255.255 .0Splunk-Index-01 inet addr:192.168.154.141 Bcast:192.168.154.255 Mask:255.255.255 .0Splunk-Index-02 inet addr:192.168.154.142 Bcast:192.168.154.255 Mask:255.255.255 .0Splunk-Index-03 inet addr:192.168.154.143 Bcast:192.168.154.255 Mask:255.255.255 .0====================================== ========================================= ========******搭建Splunk环境的命令***********************############################################# ################################################ ####CentOS 6.5vim /etc/sysconfig/networkvim /etc/hostsservice iptables stopchkconfig iptables offCentOS 7hostnamectl set-hostname Splunk-forword 修改主机名1、关闭firewall：systemctl stop firewalld.service #停止firewallsystemctl disable firewalld.service #禁止firewall开机启动firewall-cmd --state #查看默认防火墙状态（关闭后显示notrunning，开启后显示running）2、iptables防火墙（这里iptables已经安装，下面进行配置）vi/etc/sysconfig/iptables #编辑防火墙配置文件# sampleconfiguration for iptables service# you can edit thismanually or use system-config-firewall# please do not askus to add additional ports/services to this default configuration*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT[0:0]:OUTPUT ACCEPT[0:0]-A INPUT -m state--state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -jACCEPT-A INPUT -i lo -jACCEPT-A INPUT -p tcp -mstate --state NEW -m tcp --dport 22 -jACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT-A INPUT -j REJECT--reject-with icmp-host-prohibited-A FORWARD -jREJECT --reject-with icmp-host-prohibited COMMIT:wq! #保存退出############################################# ################################################ ####**SPLUNLK*********************ls -l splunk*tar zxvf splunk-* - Linux -*.tgz -C /opt 安装splunkcd /opt/splunk/bin./splunk start --accept-licensehttp8000web端口 8089管理端口 mgmthttp：//myalfresco.fulan：8000默认账户是：admin默认密码是：cangeme首次登录需要改密码防火墙:service iptables statussplunk 开机自启动 ./splunk enable boot-start卸载 splunk Enterprisesplunk disable boot-start禁用自启动splunk stoprm -rf/opt/splunk卸载要慎重，注意数据备份******卸载****************$SPLUNK_HOME/bin/splunk stopFind and kill any lingering processes that contain "splunk" in their name.For LinuxFor Mac OSRemove the Splunk Enterprise installation directory, $SPLUNK_HOME.rm -rf /Applications/splunk############################################# ################################################ ######****安装 splunk Universal Forwarder***************************************tar xzvf splunkforwarder—*.tgz -C /opt/opt/splunkforwarder/bin/splunk start --accept-license/opt/splunkforwarder/bin/splunk enable boot-start会出现一个端口冲突的问题 :8090重新设置端口./splunk show splunkd-port./splunk set splunkd-port 8091修改密码：-role admin -auth admin:changeme****windows DOS命令*******************************net start splunknet stop splunk./splunk show splunkd-port./splunk show web-port====================================== =================****归档路径***********************############################################# ###################cd /opt/splunk/var/lib/splunk/cd /opt/splunk/etc/apps/要归档的索引/localcd /opt/splunk/etc/apps/search/local############################################# ###################*********************归档配置参数*21600 一天*648000一个月*188697600 6年①归档的保存周期（天数配置参数）②冻结归档路径命令***************************************############################################################################################# ######①frozenTimePeriodInSecs = 21600②coldToFrozenDir =############################################# ################################################ ######***********************history 查看历史操作**解冻命令 ***********************############################################# ################################################ #####cp -rf db_1515994584_1515990961_0/opt/splunk/var/lib/splunk/解冻的索引/thaweddb/ #cd /opt/splunk/var/lib/splunk/要解冻的索引/thaweddb #../thaweddb/ls | xargs -i /opt/splunk/bin/splunk rebuild {} ############################################## ###################****常用目录*******************############################################# ################################################ ##########################主目录$Splunk_Home/bin #主要脚本目录$Splunk_Home/etc #主要配置目录$Splunk_Home/var #主要日志目录和数据目录常用目录$Splunk_Home/etc/system/ #系统常用配置目录$Splunk_Home/etc/users #用户角色及用户配置目录$Splunk_Home/etc/apps #应用目录$Splunk_Home/etc/deployment-apps #客户端应用推送目录$Splunk_Home/etc/master-apps #索引推送目录$Splunk_Home/etc/shcluster #搜索头应用推送目录注意事项$Splunk_Home/etc/system/default --它是Splunk自带的默认配置文件，不要编辑此目录下文件，因为每次跟新系统时它们将被重写。

SPLUNK产品使用研讨会内容--10data目录1.研讨会背景 (3)1.1.研讨会大纲 (3)1.2.操作环境 (4)2.Splunk架构介绍 (5)3.Splunk基础入门 (5)3.1.Splunk用户界面 (5)3.2.创建搜索和保存结果 (7)3.3.字段 (9)3.4.标签 (11)3.5.事件类型 (12)3.6.对照表查询 (13)3.7.告警 (14)3.8.搜索宏 (15)3.9.数据导入和断行处理 (16)4.SPL语言 (18)4.1.基本搜索 (18)4.2.搜索语法概念 (18)4.3.常用命令解析 (19)4.4.Splunk高级搜索命令 (26)4.4.1.Splunk子搜索语句 (26)4.4.2.Splunk关联搜索 (27)4.4.3.transaction命令 (28)4.4.4.Summary index (28)4.5.情景实例练习 (29)5.APP及界面UI设计 (30)5.1.App介绍 (30)5.2.Dashboard (31)5.2.1.Simple XML panels (31)5.2.2.Simple xml语法 (31)5.3.Form searches (34)5.3.1.分类 (34)5.3.2.文本输入框 (35)5.3.3.下拉菜单 (35)5.3.4.按钮选择框 (36)5.3.5.多选框 (36)5.3.6.钻取 (37)5.3.7.实例讲解 (38)5.3.8.情景实例练习 (39)1.研讨会背景1.1.研讨会大纲1.2.操作环境以下为研讨会中需要用的相关数据：2.Splunk架构介绍Splunk产品模块简介分布式架构：搜索节点：充当搜索节点，提供数据搜索功能。

索引节点：主要提供数据索引功能及响应来自搜索节点请求。

转发节点：按指定需求将相关数据已负载均衡形式分发到索引节点。

3.Splunk基础入门3.1.Splunk用户界面◆Splunk Apps概念一组在特定工作区下的用户案例，角色及搜索报表集合。

Splunk > 快速入门教程欢迎与说明本文档旨在为Splunk 的新手用户提供一个有具体示例的快速入门使用说明，文档的内容主要参照Splunk Tutorial官方教程文档提供一个中文对对照版本，如果希望直接参考英文版的Splunk Tutorial，请访问这里。

Splunk是什么？Splunk是一个针对IT数据的数据引擎软件，这些IT数据来自于组成你的IT 基础架构设施的各种应用程序、服务器、网络设备，等等。

Splunk是一个强大和灵活的搜索与分析引擎，通过收集和索引各种来源的 IT数据，你可以实时的对IT基础架构设施的任何地方发生的问题进行调查分析、故障排查、监控告警以及可视化报表展现。

安装和启动SplunkSplunk的安装程序可以在Splunk的网站上免费下载到一个每天500M数据量、60天的试用版本。

安装程序支持各种主流的操作系统—Windows、Linux、AIX、Solaris、HP-UX、MacOS，等等。

如需下载最新版本的Splunk安装程序，请访问Splunk 官方下载地址。

Splunk的安装非常简单，只需几分钟的时间即可完成。

各个版本的详细安装步骤，可以参见这里 。

启动Splunk的时候你需要启动两个进程：Splunkd和Splunkweb。

Splunkd是Splunk的主进程程序，负责索引数据和处理对数据的搜索请求。

Splunkweb是提供了一个Web方式的图形操作界面，你可以使用浏览器来登录Splunk进行操作。

如果在Windows的操作系统启动Splunk，可以在“控制面板”里的“服务”里面启动Splunkd和SplunkWeb两个服务。

如果是在Unix/Linux命令行中启动Splunk，你可以进入到Splunk的安装路径下的bin目录中，执行 ./splunk start 即可。

登录SplunkSplunk启动后，你可以打开浏览器登录进入Splunk。

默认的情况下Splunk会使用8000端口，如果是在本机登录Splunk，你可以直接在地址栏输入http://localhost:8000首次登录Splunk可以使用Splunk提供的一个预设账号admin和默认密码changeme。

Splunk® Enterprise 6.6.0搜索教程⽣成时间：2017 年 4 ⽉ 21 ⽇上午 9:053344578121214141818202424273236393945484851595959656969Table of Contents简介关于本搜索教程第 1 部分：⼊门使⽤本教程的前提条件安装 Splunk Enterprise 启动 Splunk Web 浏览 Splunk Web 第 2 部分：上载教程数据请参阅上载数据教程数据中包含哪些内容？上载教程数据第 3 部分：使⽤ Splunk 搜索应⽤浏览搜索视图指定时间范围第 4 部分：搜索教程数据基本搜索和搜索结果使⽤字段搜索使⽤搜索语⾔使⽤⼦搜索第 5 部分：⽤查找丰富事件启⽤字段查找通过字段查找进⾏搜索第 6 部分：创建报表和图表保存和共享您的报表搜索、图表和报表⽰例第 7 部分：创建仪表板关于仪表板创建仪表板和⾯板向仪表板添加更多⾯板额外资源额外资源中打开 Splunk Web ⻚⾯。

您也可以使⽤帮助应⽤程序停⽌ Splunk Enterprise。

4. 转到“登录 Splunk Web”。

登录 Splunk Web在启动序列的最后会给出⼀条信息，告诉您从哪⾥访问 Splunk Web：The Splunk Web interface is at http://localhost:8000默认情况下，Splunk Web 在安装该 Web 的主机的端⼝ 8000 上运⾏。

如果在本地计算机上使⽤ Splunk Enterprise，则访问 Splunk Web 的 URL 是 http://localhost:8000。

使⽤ Enterprise 许可证如果您在初次启动 Splunk Enterprise 时使⽤的是 Enterprise 许可证，则会显⽰登录屏幕。

按照屏幕上的说明，使⽤默认凭据进⾏验证。

username: adminpassword: changeme使⽤默认密码登录时，您可以创建⼀个新密码，或单击跳过继续使⽤默认密码。

Splunk搜索教程什么是Splunk？Splunk可以从应用程序、服务器或网络设备及其他IT基础设备中搜索IT 数据，是一款功能强大且灵活的搜索分析引擎。

它可以帮助您在单点实现实时搜寻、故障排查、监测、警示及报告IT基础设备上的所有IT数据。

Splunk用户应用程序支持人员利用Splunk对应用环境进行端对端搜索及补救，并对整个服务创建警报和仪表板来主动监测服务性能、可用性及业务度量。

应用支持人员根据各自职责分配给当前用户的角色隔离数据访问，并在不影响安全性的情况下支持应用程序开发人员和第一等级人员从生产日志上获取其所需的信息。

Splunk是一款多功能的搜索引擎，用途广泛，适合不同类型的用户。

系统管理员、网络工程师、安全分析师、软件开发人员、服务台及应用支持人员——甚至经理、副总裁和首席信息官都使用Splunk帮助他们更出色更快速地完成工作。

系统管理员和IT人员可使用Splunk检查服务器问题，了解其配置及监测用户活动。

之后他们可将搜索结果转变成预警，警报服务器性能阈值、关键性系统错误及负载。

高级网络工程师可使用Splunk排查升级问题，识别导致常规问题的事件及模式，如配置错误的路由器、邻居变化等，并将事件的搜索结果变成预警。

安全分析人员和事故应急小组可以使用Splunk审查标记用户的活动，并获取敏感数据、自动监测已知的不良事件，同时通过复杂关系搜索找出已知的风险模型，如强力攻击、数据泄漏甚至应用程序级别的欺诈。

所有决策管理层可使用Splunk构建报告和仪表板来检测并汇总其IT基础构建和业务的健康状况、性能、活动及容量。

Splunk支持的平台Splunk几乎可以在所有的计算平台上运行，但本教程重点介绍Windows 和Mac OS X版本的Splunk。

当然，无论您选择在何种平台上运行Splunk，您依然能够从“启动Splunk”这一节开始学习本教程。

Splunk是一款安装在您本地电脑上的软件，您需要通过Web浏览器访问Splunk。

Splunk基础教程⼿册0x00 初识splunk⼀、公司：美国Splunk公司，成⽴于2004年，2012年纳斯达克上市，第⼀家⼤数据上市公司，荣获众多奖项和殊荣。

总部位于美国旧⾦⼭，伦敦为国际总部，⾹港设有亚太⽀持中⼼，上海设有海外第⼀个研发中⼼。

⽬前国内最⼤的客户许可是800GB/天。

产品：Splunk Enterprise【企业版】、Splunk Free【免费版】、Splunk Cloud、Splunk Hunk【⼤数据分析平台】、Splunk Apps【基于企业版的插件】等。

⼆、产品：Splunk Enterprise，企业版，B/S架构，按许可收费，即每天索引的数据量。

(购买20GB的许可，则默认每天可索引20G数据量；⼀次购买永久使⽤；如果使⽤试⽤版，试⽤期结束之后会切换到免费版)Splunk Free，免费版，每天最⼤数据索引量500MB，可使⽤绝⼤多数企业版功能。

（免费版没有例如：⾝份验证、分布式搜索、集群等功能）Splunk Universal Forwarder，通⽤转发器，是Splunk提供的数据采集组件，免费，部署在数据源端，⽆UI界⾯，⾮常轻量，占⽤资源⼩。

（转发器⽆许可证，是免费的；企业版专⽤的；所以部署在数据源，例如：部署在你的WEB服务器上，监控你的WEB⽇志，实时监控，产⽣⼀条⽇志则转发⼀条，进⾏增量转发；⼀般配置修改配置⽂件或者使⽤CLI命令。

占⽤资源⼩）三、Splunk是什么⾯向机器数据的全⽂搜索引擎；（使⽤搜索引擎的⽅式处理数据；⽀持海量级数据处理）准实时的⽇志处理平台；基于时间序列的索引器；⼤数据分析平台；⼀体化的平台：数据采集->存储->分析->可视化；通⽤的搜索引擎，不限数据源，不限数据格式；提供荣获专利的专⽤搜索语⾔SPL(Search Processing Language)，语法上类似SQL语⾔Splunk Apps 提供更多功能（针对操作系统、思科⽹络设备，splunk都提供了专⽤的APP，接⼊数据源都可以看到直观的仪盘表。

Splunk系列：Splunk数据导⼊篇（⼆）⼀、简单概述splunk⽀持多种多样的数据源，⽀持上传⽂件，监控本地的⽂件，配置通⽤转发器等⽅式。

所有的设置基本上都可以通过Web页⾯、splunk CLI命令和直接修改配置⽂件（需重启splunk⽣效）三种⽅式。

最常见的两种场景，⽐如收集syslog ⽇志以及使⽤通⽤转发器（Agent）收集数据，我们来做⼀个简单的应⽤⽰例吧。

⼆、应⽤实例：收集syslog⽇志2.1、Linux rsyslog客户端配置（1）rsyslog安装yum install rsyslog（2）启⽤TCP进⾏传输vim /etc/rsyslog.conf# Provides TCP syslog reception #若启⽤TCP进⾏传输，则取消下⾯两⾏的注释$ModLoad imtcp$InputTCPServerRun 514*.* @@192.168.44.130:514（3）重启rsyslog服务systemctl restart rsyslog2.2、Splunk TCP监听配置（1）依次访问访问⾸页--> 添加数据 -->监视 -->TCP/UDP，选择TCP，确认端⼝，点击下⼀步。

（2）选择来源类型，确认主机和索引，点击检查。

（3）检查确认后，点击提交。

（4）这⾥已经完成TCP监听端⼝的创建，点击开始搜索，可以发现linux客户端传输过来的syslog数据。

三、应⽤实例：使⽤通⽤转发器收集Windows⽇志3.1 配置Splunk接收端⼝（1）设置-->转发和接收-->配置接收,新增接收端⼝3.2 配置Windows通⽤转发器（1）双击msi⽂件进⾏安装（2）将通⽤转发器配置为部署客户端。

（3）配置接收的服务器端⼝（4）点击install，直到完成安装。

3.3 添加Windows事件⽇志（1）在设置-->转发器管理⾥⾯，可以看到已上线的客户端。