Продолжение серии статей о том, как выполняется установка и настройка Splunk в отказоустойчивой конфигурации. В этой публикации я расскажу о том, как выполняет настройка Heavy Forwarder в Splunk, т.е. в этой статье мы будем говорить про вот эту часть:
Из общей схемы развертывания распределенной архитектуры.
Предварительно нужно выполнить подготовку серверов Linux.
Установка Splunk
Этот шаг включает в себя установки Splunk. Я буду использовать версию 8.0.10.
Необходимо установить Splunk на следующие сервера:
- spl_hf01
- spl_hf02
На сервере spl_mgr01 Splunk был установлен в прошлой публикации.
В качестве опорного руководства по установке я использовал свою же статью. Только с поправкой на версию 8.0.10.
Настройка лицензии
На каждом из серверов нужно настроить адрес для получения лицензии от сервиса лицензирования.
Для этого выполним следующие шаги. Я покажу на примере сервера spl_hf01:
1. Перейдем в соответствующий раздел настроек:
https://10.10.10.33/en-GB/manager/system/licensing
2. Нажмем на кнопку “Change to slave”.
3. Укажем адрес сервера лицензирования.
4. Перезапустим сервис Splunk.
5. Выполнить шаги из пунктов выше на сервере spl_sh02.
Подключение серверов Heavy Forwarder к индексаторам
Теперь настроим пересылку событий с серверов Heavy Forwarder на сервера индексаторов:
1. Перейдем на соответствующую страницу настроек на первом сервере Heavy Forwarder:
https://10.10.10.33/en-US/manager/launcher/data/outputs/tcp/server2. Добавим первый индексатор:
10.10.10.31:9997
3. Аналогичным образом добавим второй индексатор.
4. Итого у меня получилось два узла:
5. Теперь нужно выполнить аналогичный настройки на втором сервере Heavy Forwarder – spl_hf02.
Настройка Heavy Forwarder в Splunk завершена.