一、Splunk概述Splunk是机器数据的引擎,提供了日志采集、存储、分析、可视化展示的一整套解决方案。使用Splunk进行调查和取证、威胁监控和事件响应,以应对各种安全挑战。2.安装Splunk2.1下载Splunk由于一些合规要求,如果你也遇到这样的访问限制,需要重新注册用户。比如你可以使用foxmail邮箱,选择其他国家注册,这样注册后就可以正常访问下载源了。创建账号后,可以进入安装包下载界面,选择对应的安装包,点击下载下载SplunkEnterprise,免费试用60天,每天索引500MB。2.2Linux平台安装Splunk(一)安装Splunkcd/optrpm-ivhrpm-ivhsplunk-8.2.3-cd0848707637-linux-2.6-x86_64.rpm(二)设置环境变量[root@localhostbypass]#vi/etc/profileexportSPLUNK_HOME=/opt/splunkexportPATH=$SPLUNK_HOME/bin:$PATH[root@localhostbypass]#source/etc/profile(3)启动splunk使用splunkstart命令启动splunk,输入用户和密码,完成初始化。(4)访问splunkweb端口英文:http://192.168.44.130:8000/en-GB中文:http://192.168.44.130:8000/zh-CN2.3Windows平台安装Splunk(一)安装并准备下载Windowsmsi安装包,安装环境:Windows10、WindowsServer2016、2019(二)安装Splunk双击msi文件进入自定义安装,点击下一步直至完成。(3)系统环境和服务管理设置环境变量:在path中添加C:\Splunk\bin在服务管理中,可以看到有一个SplunkdService服务:(4)访问splunk,打开浏览器,推荐使用chrome,Splun默认运行在8000端口。Splunk网页访问地址:http://localhost:8000
