نحوه ارسال لاگ به indexer cluster

بعد از ایجاد indexer cluster، نوبت تنظیم UF ها یا همان Universal Forwarder ها برای ارسال لاگ‌ها به سمت indexer ها می‌باشد. به دو روش می‌توانیم Indexer ها را به UF ها معرفی کنیم.

• استفاده از ویژگی indexer discovery
• اتصال مستقیم Forwarder ها به indexer ها

برای فعال‌سازی indexer discovery مراحل زیر را انجام می‌دهیم.

• انجام تنظیماتpeer node ها برای دریافت لاگ‌های ارسالی توسط UF ها
• تنظیم master node برای فعال کردن indexer discovery
• انجام تنظیمات forwarder ها

برای انجام تنظیمات indexer ها برای دریافت لاگ فقط کافیست تنظیمات زیر را در فایل inputs.conf اضافه کنیم.

$ sudo nano /opt/splunk/etc/system/local/inputs.conf
[splunktcp://9997]
disabled = 0

برای فعال کردن indexer discovery سمت master node، تنظیمات زیر را در فایل server.conf اضافه می‌کنیم.

nano /opt/splunk/etc/system/local/server.conf
[indexer_discovery]
pass4SymmKey = password
indexerWeightByDiskCapacity = true

نصب و تنظیم Universal Forwarder

ابتدا از لینک مربوط به package نصب Universal forward فایل سازگار با سیستم عامل خود را دانلود می‌کنیم.

برای فعال کردن indexer discovery سمت UF ها نیز مقادیر زیر را در فایل outputs.conf اضافه می‌کنیم. در این حالت هر Forwarder برای شناسایی peer node ها از Master node لیست indexer ها را پرس‌وجو می‌کند. یک UF بعد از شناسایی indexer ها از ویژگی Load balance خود برای ارسال لاگ‌ها استفاده می‌کند و بار را بین indexer ها بالانس می‌‌نماید.

nano /opt/splunkforwarder/etc/system/local/outputs.conf
[indexer_discovery:master]
pass4SymmKey = password
master_uri = https://172.17.0.1:8089

[tcpout:group1]
autoLBFrequency = 30
forceTimebasedAutoLB = true
indexerDiscovery = master
useACK=true

[tcpout]
defaultGroup = group1

cd /opt/splunkforwarder/bin
./splunk add monitor /var/log

برای اتصال مستقیم و دستی UF ها به peer node ها نیز از دستورات زیر را بر روی Universal Forwarder ها اجرا می‌کنیم.

cd /opt/splunkforwarder/bin
./splunk list monitor
./splunk add monitor /var/log
./splunk add forward-server 172.17.0.2:9997
./splunk add forward-server 172.17.0.3:9997