Splunk Universal Forwarder
Bu lab rehberi, Splunk Universal Forwarder kullanarak sanal bir Windows 10 agent makinesi üzerinden log toplamayı göstermektedir.
Splunk Enterprise 9.2.1 Splunk Universal Forwarder 9.2.1
Başlamadan Önce
Sorun yaşamamak için:
- Windows Defender devre dışı bırakalım
- Windows Update devre dışı bırakalım
- Windows Defender Güvenlik Duvarı devre dışı bırakalım
- Wecsvs (Windows Event Collector) hizmetini görev yöneticisi üzerinden başlatalım
Splunk Enterprise kurulumu tamamlandıktan sonra Microsoft Windows için özel bir eklenti olan Splunk Add-on for Microsoft Windows yükleyeceğiz. Bu eklenti (splunk-add-on-for-microsoft-windows_880.tgz), her iki makinede de kullanılacak.
Splunk Enterprise
Splunk’a giriş yapıp varsayılan 9997 portunu dinlemeye başlayalım ve Splunk Universal Forwarder kurulumuna geçmeden önce makinemizin IP adresini not alalım: 10.0.2.8
Splunk Universal Forwarder
Eklenti dosyasını klasöre çıkardıktan sonra elde edilen Splunk_TA_windows klasörünü C:\Program Files\SplunkUniversalForwarder\etc\apps
dizinine taşıyalım.
inputs.conf
dosyasını, yeni oluşturulan “local” adlı klasöre taşıyacağız. Dosyanın mevcut ve güncellenmiş dosya yolları aşağıdaki gibi olmalıdır:
mevcut dosya yolu
"C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\default\inputs.conf"
güncel dosya yolu
"C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_windows\local\inputs.conf"
Application, Security ve System loglarını aktif hale getirmek için disableb = 1
değerini disableb = 0
olarak değiştirelim. Bu işlem sonrasında SplunkForwarder hizmetini yeniden başlatalım ve hizmetin başladığından emin olalım.
Sonuç
Logların başarıyla alındığı doğrulanmıştır.