-
ubuntu 20.04
apt-get update -y && apt-get dist-upgrade -y
apt-get -y install curl
apt-get -y install open-vm-tools open-vm-tools-desktop
ufw disable
sleep mode disable
복사 붙여넣기 dpkg -i splunk-8.2.0-e053ef3c985f-linux-2.6-amd64.deb
cp: '/opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swidtag'를 설명할 수 없음: 그런 파일이나 디렉터리가 없습니다
( 이런 문구가 뜨면 저 경로에 복사 붙여넣기)
SWID_SRC_DIR="$SPLUNK_HOME/etc"
SWID_DEST_DIR="/usr/share/regid.2001-12.com.splunk"
mkdir -p $SWID_DEST_DIR
sudo cp /opt/splunk/swidtag/splunk-Splunk-Enterprise-primary.swidtag /opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swidtag
sudo chown splunk:splunk /opt/splunk/etc/regid.2001-12.com.splunk-Splunk-Enterprise.swidtag
/opt/splunk/bin/splunk enable boot-start
y
admin
12345678
/etc/init.d/splunk start
window으로 접속
자신의 ip 확인 후 접속
재부팅
host="*" index="test_index" | table Code, AcctID, source, sourcetype
"test_index" 인덱스에서 모든 호스트에서 데이터를 가져와서 "Code", "AcctID", "source", "sourcetype" 필드를 테이블 형태로 출력합니다.
host="*" index="test_index" | top Code
"test_index" 인덱스에서 모든 호스트에서 수집된 데이터를 가져와서 "Code" 필드의 값을 기준으로 상위 항목을 찾습니다.
host="*" index="test_index" | rare Code
"test_index" 인덱스에서 모든 호스트에서 수집된 데이터를 가져와서 "Code" 필드의 값을 기준으로 드물게 나타나는 항목을 찾습니다.
host="*" index="test_index" | top Code limit=5
"test_index" 인덱스에서 모든 호스트에서 수집된 데이터를 가져와서 "Code" 필드의 값을 기준으로 가장 빈도가 높은 상위 5개 항목을 찾습니다.