dockerでSplunk環境構築 - yokohama/oreshic-record GitHub Wiki
Date: 2024-03-29 18:17:18
こちらを参考にしました。
https://splunk.github.io/docker-splunk/SETUP.html
$ docker pull splunk/splunk:latest
イメージの確認
$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
splunk/splunk latest 55679cea600a 29 hours ago 2.07GB
起動
$ docker run -d -p 8000:8000 -p 9997:9997 -p 8089:8089 -e "SPLUNK_START_ARGS=--accept-license" -e "SPLUNK_PASSWORD=password" --name splunk splunk/splunk:latest
ステータスの確認
$ docker exec -it -u splunk splunk /opt/splunk/bin/splunk status
splunkd is running (PID: 1958).
splunk helpers are running (PIDs: 1959 2077 2184 2240).
バージョンの確認
$ docker exec -it -u splunk splunk /opt/splunk/bin/splunk version
Splunk 9.0.9 (build 6315942c563f)
ブラウザからアクセス(http://localhost:8000)
admin / password でログイン
上記の手順で起動していれば、以下の手順でwebから、9997が開いていることが確認できます。
以下から、ダウンロードします。Splunkのアカウント登録が必要です。
https://www.splunk.com/ja_jp/download/universal-forwarder.html
ダウンロードした、.msiファイルを使用してインストールを進めます。
このままいきます。
とりあえず、全て転送してみます。
universal forwarder用のアカウントを作る必要があるので、Usernameは、とりあえず uf にしました。パスワードはランダム生成にチェックをいれました。
デプロイメントサーバーとインデクサーのIPを指定します。今回はAll in Oneなので同じIPでポートはデフォルトのまま。
動いているか確認します。
Universal FowarderがインストールされているPCが表示されればOKです。受信したいPCを選択します。
全て追加します。
indexはデフォルトでいってみます。
成功したっぽいです。
