نحوه ارسال لاگ به indexer cluster
بعد از ایجاد indexer cluster، نوبت تنظیم UF ها یا همان Universal Forwarder ها برای ارسال لاگها به سمت indexer ها میباشد. به دو روش میتوانیم Indexer ها را به UF ها معرفی کنیم.
- استفاده از ویژگی indexer discovery
- اتصال مستقیم Forwarder ها به indexer ها
برای فعالسازی indexer discovery مراحل زیر را انجام میدهیم.
- انجام تنظیماتpeer node ها برای دریافت لاگهای ارسالی توسط UF ها
- تنظیم master node برای فعال کردن indexer discovery
- انجام تنظیمات forwarder ها
برای انجام تنظیمات indexer ها برای دریافت لاگ فقط کافیست تنظیمات زیر را در فایل inputs.conf اضافه کنیم.
$ sudo nano /opt/splunk/etc/system/local/inputs.conf
[splunktcp://9997]
disabled = 0برای فعال کردن indexer discovery سمت master node، تنظیمات زیر را در فایل server.conf اضافه میکنیم.
nano /opt/splunk/etc/system/local/server.conf
[indexer_discovery]
pass4SymmKey = password
indexerWeightByDiskCapacity = trueنصب و تنظیم Universal Forwarder
ابتدا از لینک مربوط به package نصب Universal forward فایل سازگار با سیستم عامل خود را دانلود میکنیم.
برای فعال کردن indexer discovery سمت UF ها نیز مقادیر زیر را در فایل outputs.conf اضافه میکنیم. در این حالت هر Forwarder برای شناسایی peer node ها از Master node لیست indexer ها را پرسوجو میکند. یک UF بعد از شناسایی indexer ها از ویژگی Load balance خود برای ارسال لاگها استفاده میکند و بار را بین indexer ها بالانس مینماید.
nano /opt/splunkforwarder/etc/system/local/outputs.conf
[indexer_discovery:master]
pass4SymmKey = password
master_uri = https://172.17.0.1:8089
[tcpout:group1]
autoLBFrequency = 30
forceTimebasedAutoLB = true
indexerDiscovery = master
useACK=true
[tcpout]
defaultGroup = group1cd /opt/splunkforwarder/bin
./splunk add monitor /var/logبرای اتصال مستقیم و دستی UF ها به peer node ها نیز از دستورات زیر را بر روی Universal Forwarder ها اجرا میکنیم.
cd /opt/splunkforwarder/bin
./splunk list monitor
./splunk add monitor /var/log
./splunk add forward-server 172.17.0.2:9997
./splunk add forward-server 172.17.0.3:9997