文件和目录
从网络端口获得数据(UDP:514)
使用脚本(定期使用脚本来获得数据,将脚本放在$splunk_home\bin\scripts目录中)
使用模块输入
需要下载应用command modular input,安装好后在数据输入里面有“command”,用于新建模块。如c:\windows\system32\systeminfo.exe命令
使用通用转发器收集数据
在SUF服务器上安装SUF(splunk universal forwarder)。在SUF安装目录的bin目录下(如c:\program files\splunkuniversalforwarder\bin)
输入命令:splunk start 打开SUF,接受许可证协议
splunk enable boot-start 这是linux下的命令,就是让它开机自动运行,windows自行处理
splunk add forward-server <host>:9997 –auth <username>:<password> 设置索引器的值(即splunk服务器,host),SUF的用户名和密码。9997是端口值
在索引服务器上(splunk服务器)上,设置—转发和接收---配置接收---新增—输入端口值9997
加载样本数据
sp1文件,管理应用—从文件安装应用
在数据输入---脚本,将其激活
在数据输入---文件和目录,将其激活