Splunk Universal Forwarder
Bu lab rehberi, Splunk Universal Forwarder kullanarak sanal bir Windows 10 agent makinesi üzerinden log toplamayı göstermektedir.
Splunk Enterprise 9.2.1 Splunk Universal Forwarder 9.2.1
Başlamadan Önce
Sorun yaşamamak için:
- Windows Defender devre dışı bırakalım
- Windows Update devre dışı bırakalım
- Windows Defender Güvenlik Duvarı devre dışı bırakalım
- Wecsvs (Windows Event Collector) hizmetini görev yöneticisi üzerinden başlatalım
Splunk Enterprise kurulumu tamamlandıktan sonra Microsoft Windows için özel bir eklenti olan Splunk Add-on for Microsoft Windows yükleyeceğiz. Bu eklenti (splunk-add-on-for-microsoft-windows_880.tgz), her iki makinede de kullanılacak.
Splunk Enterprise
Splunk Enterprise screenshots
Splunk Add-on for Microsoft Windows screenshots
Splunk’a giriş yapıp varsayılan 9997 portunu dinlemeye başlayalım ve Splunk Universal Forwarder kurulumuna geçmeden önce makinemizin IP adresini not alalım: 10.0.2.8
Screenshots
Splunk Universal Forwarder
Splunk Universal Forwarder screenshots
Eklenti dosyasını klasöre çıkardıktan sonra elde edilen Splunk_TA_windows klasörünü C:\Program Files\SplunkUniversalForwarder\etc\apps dizinine taşıyalım.
inputs.conf dosyasını, yeni oluşturulan “local” adlı klasöre taşıyacağız. Dosyanın mevcut ve güncellenmiş dosya yolları aşağıdaki gibi olmalıdır:
mevcut dosya yolu
"C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf"
güncel dosya yolu
"C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf"
Application, Security ve System loglarını aktif hale getirmek için disableb = 1 değerini disableb = 0 olarak değiştirelim. Bu işlem sonrasında SplunkForwarder hizmetini yeniden başlatalım ve hizmetin başladığından emin olalım.
Sonuç
Logların başarıyla alındığı doğrulanmıştır.
Screenshots
