Если я установлю перенаправитель splunk, я могу получить удаленные данные в моей установке splunk и проиндексировать журналы, и поиск будет отличным. Но у меня есть несколько маршрутизаторов и других устройств, которые запускают syslog и могут куда-то экспортировать свои журналы.
Как я могу настроить Splunk для получения этих журналов или можно использовать другой обходной путь?
В конфигурации входов индексатора Splunk вам нужно настроить прослушиватель UDP на порт 514 с типом, установленным на syslog (что позволяет ему определять некоторые из полей системного журнала по умолчанию) и хост, установленный в качестве источника трафика (что позволяет ему соответствующим образом устанавливать поле хоста для элементов журнала).
Как только это будет сделано, любое стандартное устройство системного журнала сможет отправлять данные в индексатор Splunk, и Splunk с радостью принимает их.
В Интернете довольно много статей о том, как настроить Splunk для приема подключений системного журнала. Вот один что я нашел с помощью простого поиска в Google.
По сути, вы просто заходите в консоль управления Splunk и указываете ей принимать соединения через порт X с Y-машины. По сути, это говорит Splunk принимать эти подключения. Теперь вам просто нужно перейти к каждому устройству и указать в системном журнале этой системы IP-адрес Splunk на правильном порту.
К вашему сведению - поиск Google, который я использовал, был: настроить splunk для приема системного журнала
Я знаю, что это старая ветка, но просто комментирую для всех, кто наткнется на нее. Рекомендуемый подход - направлять данные системного журнала через сервер системного журнала, например syslog-ng или Rsyslog. Затем используйте универсальный сервер пересылки Splunk для отслеживания файлов журнала и отправки на уровень индексации. Есть несколько причин, по которым не рекомендуется просто открывать сетевой порт на перенаправителе / индексаторе Splunk. Во-первых, UDP не имеет состояния, и каждый раз при перезапуске Splunk эти данные просто теряются. И Splunk необходимо перезапускать практически каждый раз, когда изменяется файл конфигурации или устанавливается приложение. Во-вторых, Splunk должен быть запущен от имени пользователя root, чтобы принимать трафик на портах ниже 1024, а это противоречит передовой практике. Это также нарушает политику безопасности многих компаний.
Я хотел бы сделать двухэтапный процесс. Я бы создал центральный сервер syslog / syslog-ng, который мог бы объединять журналы всех ваших маршрутизаторов и других устройств через syslog. Затем на этом центральном сервере syslog / syslog-ng запустите сервер пересылки splunk, настройте его для отслеживания соответствующего файла или файлов системного журнала, которые вы настраиваете, и перенаправьте эти данные на центральный сервер splunk для индексации.
Еще один подход - сделать сервер syslog / syslog-ng тем же сервером, что и ваш центральный splunk. Это устранило бы один шаг пересылки.
Удачи!