(1)、需关闭selinux:
1、 vi /etc/sysconfig/selinux
SELINUX=disabled
(2)、开始安装
mkdir splunk
tar -zxvf splunk-6.1.2-213098-Linux-x86_64.tgz
mv splunk /usr/local
cd /usr/local/splunk/bin
./splunk start
2.1、看到出现以下内容表示安装成功:
Splunk Server started.
The Splunk web interface is at http://192.168.1.111:8000
If you get stuck, we're here to help. Feel free to email us at 'support@splunk.com'.
2.2、 为了测试一下是否安装成功最好使用此命令查看一下
netstat -an
如果看到8000端口打开,说明启动成功。
*****************************
启动和关闭:(必须要splunk/bin目录下,我的是: /usr/local/splunk/bin/目录下)
./splunk start //启动
./splunk stop //关闭
./splunk restart //重新启动
*****************************
(3)、然后通过浏览器打开地址: http://IP地址(主机名称):8000
(4)、设置分析日志目录
点击 Admin然后在, 选中 Data inputs , 点击右侧的Files&Directories,点击 New input按扭,在full path on server 输入你的syslog server 的log具体地址,我这里是/var/log 可以看到上面还可以上传本地文件呢呵呵,很强大啊。输入你的log地址后点 Submit 提交保存~返回主页,可以点击上面的大splunk logo就返回主页了,现在可以搜索日志了,我搜索kernel看下
(5)、设置开机启动
1.设置开机自动启动~
ln -s /usr/local/splunk/bin/splunk /etc/rc2.d/S80splunk
2.放到服务里面
ln -s /usr/local/splunk/bin/splunk /etc/init.d/splunk
vi /etc/rc.d/rc.local
#添加以下命令
/usr/local/splunk/bin/splunk start
好了现在可以 开机自动运行了。