1.     Splunk接收器开启

在Splunk服务器安装目录，执行./splunk enable listen 9997 –auth<username>:<password>

                Username默认为splunk web登陆用户名

                Password默认为splunk web登陆密码

./splunk enable listen 9997 –auth admin:changme

2.          Splunk转发器安装(Linux下安装，Windows的直接下一步)

                http://www.splunk.com/download/universalforwarder下载对应版本的转发器

                rpm –ivh splunkforwarder-6.1.3-220630-linux-2.6-x86_64.rpm

      cd /opt/splunkforwarder/bin

      #启动splunk

      ./splunk start

      #自启动splunk

      ./splunk enable boot-start

      #确认转发器已经连接到接收器

      ./splunk add forward-server 192.168.160.98:9997

      #查看可用splunk接收器列表

      ./splunk list forward-server

      #让转发器收集/var/log/varnish日志

      ./splunk add monitor /var/log/varnish

      #指定固定索引收集日志，需在splunk服务器上事先创建好索引varnish

      ./splunk add monitor /var/log/varnish –index varnish

      #这样做完基本ok了，但是在提取字段的时候异常麻烦，所以我们要指定下sourcetype的固定名称，方便搜索

      cd /opt/splunkforwarder/etc/apps/search/local

      vim inputs.conf

        sourcetype=varnish

      /opt/splunkforwarder/bin/splunk restart

3.          Splunk语句搜索

      #如果用的是自定义索引，搜索时要指定index

      index="varnish" sourcetype="varnish"

      OK，接下来可以针对sourcetype=”varnish”的提取字段了。

splunk的conf文件具体可参考：http://docs.splunk.com/Documentation/Splunk/latest/Admin/Serverconf

本文出自 “Linux运维” 博客，请务必保留此出处http://utrace.blog.51cto.com/2213120/1548265

Splunk大数据日志分析系统远程获取日志数据