[[434459]]

一、Splunk概述

Splunk 是機(jī)器數(shù)據(jù)的引擎，提供了日志收集、存儲(chǔ)、分析、可視化展示為一體的一整套解決方案。借助Splunk進(jìn)行調(diào)查和取證、威脅監(jiān)測(cè)以及事件響應(yīng)，以應(yīng)對(duì)各種不同的安全挑戰(zhàn)。

二、安裝Splunk

2.1 下載Splunk

由于一些合規(guī)要求，如果你也遇到這樣的訪問限制，那么就需要重新注冊(cè)用戶。比如可以使用foxmail郵箱，注冊(cè)地選擇其他國(guó)家，這樣注冊(cè)就可以正常訪問到下載源。

創(chuàng)建賬號(hào)后，即可進(jìn)入安裝包下載界面，選擇對(duì)應(yīng)的安裝包，點(diǎn)擊下載即可下載Splunk Enterprise，免費(fèi)試用60天，每天索引500MB。

2.2 在Linux平臺(tái)安裝Splunk

(1)安裝Splunk

cd /opt 
rpm -ivh  rpm -ivh splunk-8.2.3-cd0848707637-linux-2.6-x86_64.rpm 

(2)設(shè)置環(huán)境變量

[root@localhost bypass]# vi /etc/profile 
    export SPLUNK_HOME=/opt/splunk 
    export PATH=$SPLUNK_HOME/bin:$PATH 
 
[root@localhost bypass]# source /etc/profile 

(3)啟動(dòng)splunk

使用splunk start 命令啟動(dòng)splunk，輸入用戶和密碼，完成初始化。

(4)訪問splunk web端口

英文：http://192.168.44.130:8000/en-GB 
中文：http://192.168.44.130:8000/zh-CN 

2.3 在Windows平臺(tái)安裝Splunk

(1)安裝準(zhǔn)備

下載Windows msi安裝包，安裝環(huán)境：

Windows10，Windows Server 2016,2019 

(2)安裝Splunk

雙擊msi文件，進(jìn)入自定義安裝，一直點(diǎn)擊下一步，直至完成。

(3)系統(tǒng)環(huán)境與服務(wù)管理

設(shè)置環(huán)境變量：將C:\Splunk\bin 添加到path

在服務(wù)管理，可以看到有一個(gè)Splunkd Service服務(wù)：

(4)訪問splunk

打開瀏覽器，建議使用chrome，Splun默認(rèn)在端口8000上運(yùn)行。Splunk web訪問地址：

http://localhost:8000