Splunk说明文档

1、Slunk是什么

Splunk是一个托管的一体化的日志文件管理工具。经过对日志进行高效索引，让管理员能够对日志各类状况进行搜索，并经过友好视图展示出来。统计关注时间段总体交易延时和交易量，依据来源、类型等多维度统计交易。制做成仪表板等网路监控平台，并可设置交易告警、系统告警、应用告警

2、Slunk功能

（1）日志分析、业务数据分析

（2）搜索、提取并可 对结果进行分组、联合、拆分和格式化     

（3）生成可视化视图

（4）电子邮件提醒

3、Slunk特色

 (1) 快速查询日志信息（再也不手工检查）

 (2) 数据关联分析（业务系统交易各维度统计）

 (3) 支持企业级架构分级分布式部署

4、Slunk下载和安装

下载地址：http://www.splunk.com/zh-hans_cn/download/splunk-enterprise.html 选windows，选splunk-6.4.0-f2c836328108-x64-release.msi 点击下载连接，跳转注册界面，注册成功后下载；若已登陆，直接下载。

安装：msi安装

安装完成第一次使用：网页登陆http://localhost:8000 进入web管理页面，若关机重启没法进入，启动cmd 转到\Program Files\Splunk\bin键入splunk start

登陆便可进入主页

 

5、使用命令

http://www.splunk.com/content/dam/splunk2/pdfs/solution-guides/splunk-quick-reference-guide.pdf

6、操做

 

(一)查询模块(分析日志)
a.数据导入，也能够接收另外一台Slunk转发器转发的数据。以上载为例

 

 

案例：

制做黑客入侵IP仪表板：

1. 失败登录尝试次数
2. 头5个登录失败黑客ip地址
3. 穿透表格显示黑客入侵的用户帐号
4. 穿透地图展现IP地址

步骤：