我想为 Splunk 配置一个证书,以便我可以在端口 8089 上向它发出 API 请求。目前以下命令失败,因为使用了 Splunk 的默认证书,并且默认证书不适用于主机名my.splunk.server:
curl -s -u admin:password https://my.splunk.server:8089/services/search/jobs \
-d search='search some search term'
如何配置证书?
我希望创建一个脚本来设置转发到 splunk 服务器。这是我到目前为止所拥有的:
./splunk add forward-server SPLUNK-IP-ADDRESS:SPLUNK-PORT
但是,它要求我提供凭据。如何以非交互方式将凭据传递给 splunk 并设置转发器?
嘿,我似乎对 HAProxy 有问题,但似乎找不到问题的根源。
设置:
1 个负载均衡器
3 个服务器(Splunk 搜索头)
负载均衡器和 3 个服务器都只能通过 https 访问,并且都具有不同的 SSL 证书。我正在尝试加密从客户端到负载均衡器的流量,然后加密从负载均衡器到服务器的流量。未来的这些会议也需要具有粘性。作为一个仅供参考,我已将下面配置中的 IP 更改为专用 IP。
我可以从负载均衡器 ping 服务器并从浏览器正确访问它们(不通过负载均衡器)。负载均衡器上的 SSL 证书正在工作,但我没有重定向到其中一台服务器,而是收到 503 错误:“503 服务不可用 - 没有服务器可用于处理此请求。”
下面是我的配置文件。任何帮助将不胜感激,因为这是我第一次使用 HAProxy。
global
ssl-server-verify none
frontend https443
mode http
bind *:443 ssl cert /ect/haproxy/cert/haproxy.pem
timeout client 60s
reqadd X-Forwarded-Proto:\ https
default_backend allservers
backend allservers
mode http
balance roundrobin
timeout connect 10s
timeout server 100s
server server1 192.168.23.1:8000 check ssl
server server2 192.168.23.2:8000 check ssl
server server3 192.168.23.3:8000 check ssl
我有一个分布式 Splunk 6 环境,我正在使用该环境安装新的技术插件。在我的转发器上,我正在尝试添加一个新的Data Input... Settings> Data inputs> Files & directories>New然后选择我的文件并单击Set Sourcetype页面上的下一步...,出现消息“ Cannot preview on this Splunk instance”。
我Data Input以相同的方式设置了许多其他文件,甚至还有与抛出消息的该文件位于同一目录中的另一个文件。该目录是 fowarder 所在的 Linux 机器的本地目录,并且我已经验证了该文件的权限。
使用 Splunk 仍然完全弄湿了耳朵,并且无法解决此问题。
感谢您的帮助。
谢谢。
在开始将日志转发到 Splunk 实例之前,我需要对磁盘空间要求有一个模糊的了解。每条索引行平均有 320 个字符,我每天将索引大约 500,000 行。
我的假设是每个字符 1 个字节,我忽略了 Splunk 为索引等占用的空间。这是每天 160MB。
你会说这是半准确的还是完全不正确的?
我有一台从本地 SAN 安装了两个 LUN 的服务器。我为我们正在使用的供应商软件 (splunk) 准备了一个配置文件,该文件定义了第二个 LUN 的大小,但我不小心将其配置为比实际大 6GB。今天早上我进来看到关于错误的口哨声。它已被修复,Splunk 服务器进程已重新启动以使用它。它应该正在清除数据,而且它似乎正在这样做。然而,当我查看 DF 的输出时,我看到了一些奇怪的东西:
Filesystem Size Used Avail Use% Mounted on
/dev/cciss/c0d0p3 507G 4.0G 477G 1% /
/dev/cciss/c0d0p1 97M 19M 73M 21% /boot
tmpfs 36G 0 36G 0% /dev/shm
/dev/mapper/hot_group-lvol0
148G 128G 14G 91% /splunk/hot
/dev/mapper/cold_group-lvol0
837G 797G 0 100% /splunk/cold
正如您所看到的,DF 显示磁盘的总大小明显更大(比使用的磁盘大 40GB。但是它仍然显示 0 字节可用。有人可以解释一下吗?
我正在使用带有 augeas 的 IniFile 模块来创建 Splunk 管理镜头。这适用于所有包含节标题的文件,如普通 INI 文件,但有几个文件不遵循此方案,仅使用名称=值对。
是否有一种现成的方法可以将这些条目映射到没有定义为通用内容(如 main)的部分?我宁愿不必为第二种文件类型学习另一个模块,因为目前有一种现成的方法可以避免它。
module Splunk =
autoload xfm
let comment = IniFile.comment IniFile.comment_re IniFile.comment_default
let sep = IniFile.sep IniFile.sep_re IniFile.sep_default
let setting = IniFile.record_re
let title = IniFile.title ( IniFile.record_re )
let entry = IniFile.entry steting sep comment
let record = IniFile.record title entry
let lns = IniFile.lns record comment
let filter = incl "/etc/splunk/*.conf"
let xfm = transform lns filter
test lns get "[section]\ntest-value=yes\n" = ?
test lns get "test=yes\n" = ?
我当前的日志文件名是:catalina.2010-02-24.log。
我想为 splunk 索引添加这个,但我遇到了问题,因为没有静态文件名,因为每天的 tomcat 都会重命名日志文件。
[tail:///var/logs/catalina.2010-02-24.log] 行不通。有没有办法解决这个问题
我在 CentOS 机器上使用带有免费许可证的 Splunk 3.4.10。我创建了一个名为“跟踪邮件”的已保存表单搜索,我希望使用它来跟踪通过我的邮件服务器的单个消息,因为它获得了新的队列 ID。现在,这个表单搜索一直工作到昨天,现在当我尝试运行它时,会记录一个 Splunk 错误,上面写着“替换变量名 =“foo”时出错。在参数映射中找不到变量。”
我保存的搜索的当前语法是: ID = ": $first$:" OR ID = ": $second$:" 其中 ID 是提取的字段。
当我使用 ID = ": $first$:" 时,搜索正确完成,返回所有预期结果。有没有其他人经历过这个?