Продолжение серии статей о том, как выполняется установка и настройка Splunk в отказоустойчивой конфигурации. В этой публикации я расскажу о том, как выполняется установка Splunk Universal Forwarder (SUF), т.е. в этой статье мы будем говорить про вот эту часть:
Из общей схемы развертывания распределенной архитектуры.
Предварительно нужно выполнить подготовку серверов Linux и подготовку сервера Windows.
Установка Splunk Universal Forwarder на Linux
Для установки Splunk Universal Forwarder (SUF) на Linux необходимо выполнить следующие шаги:
2. Скопировать установщик на сервер. Я использую scp:
scp .\splunkforwarder-8.0.1-Linux-x86_64.tgz roman@10.10.10.26:/home/roman
3. Распаковываем архив:
tar -xvf splunkforwarder-8.0.1-Linux-x86_64.tgz4. Переносим рапакованную директорию в /opt:
sudo cp -r splunkforwarder /opt5. Запускаем первоначальную установку Splunk:
cd /opt/splunkforwarder/bin
sudo ./splunk start --accept-licenseThis appears to be your first time running this version of Splunk.
Splunk software must create an administrator account during startup. Otherwise, you cannot log in.
Create credentials for the administrator account.
Characters do not appear on the screen when you type in credentials.
Please enter an administrator username: admin
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
Splunk> Take the sh out of IT.
Checking prerequisites...
Checking mgmt port [8089]: open
Creating: /opt/splunkforwarder/var/lib/splunk
Creating: /opt/splunkforwarder/var/run/splunk
Creating: /opt/splunkforwarder/var/run/splunk/appserver/i18n
Creating: /opt/splunkforwarder/var/run/splunk/appserver/modules/static/css
Creating: /opt/splunkforwarder/var/run/splunk/upload
Creating: /opt/splunkforwarder/var/run/splunk/search_telemetry
Creating: /opt/splunkforwarder/var/spool/splunk
Creating: /opt/splunkforwarder/var/spool/dirmoncache
Creating: /opt/splunkforwarder/var/lib/splunk/authDb
Creating: /opt/splunkforwarder/var/lib/splunk/hashDb
New certs have been generated in '/opt/splunkforwarder/etc/auth'.
Checking conf files for problems...
Done
Checking default conf files for edits...
Validating installed files against hashes from '/opt/splunkforwarder/splunkforwarder-8.0.1-6db836e2fb9e-linux-2.6-x86_64-manifest'
All installed files intact.
Done
All preliminary checks passed.
Starting splunk server daemon (splunkd)...
Done6. Укажем адреса индексаторов:
cd /opt/splunkforwarder/bin
sudo ./splunk add forward-server 10.10.10.31:9997
sudo ./splunk add forward-server 10.10.10.32:99977. Остановим службу и настроим автоматический запуск:
sudo ./splunk stop
sudo ./splunk enable boot-start -systemd-managed 1 -user root -group root8. Включим автоматический запуск и запустим службу:
sudo systemctl enable SplunkForwarder.service
sudo systemctl start SplunkForwarder.service9. Особенность именно моего окружения была в том, что на облачных образах Rocky Linux дополнительно нужно было создать несколько директорий:
sudo mkdir /sys/fs/cgroup/memory/
sudo mkdir /sys/fs/cgroup/cpu/9. Проверим статус службы:
sudo systemctl status SplunkForwarder.service[root@spl-uf02 splunk]# sudo systemctl status SplunkForwarder.service
● SplunkForwarder.service - Systemd service file for Splunk, generated by 'splunk enable boot-start'
Loaded: loaded (/etc/systemd/system/SplunkForwarder.service; enabled; preset: disabled)
Active: active (running) since Sun 2025-04-27 10:19:06 +07; 1s ago
Main PID: 2109 (splunkd)
Tasks: 39 (limit: 22973)
Memory: 127.5M
CPU: 1.077s
CGroup: /system.slice/SplunkForwarder.service
├─2109 splunkd --under-systemd --systemd-delegate=yes -p 8089 _internal_launch_under_systemd
└─2131 "[splunkd pid=2109] splunkd --under-systemd --systemd-delegate=yes -p 8089 _internal_launch_under_systemd [>
Apr 27 10:19:06 spl-uf02.itproblog.ru systemd[1]: Started Systemd service file for Splunk, generated by 'splunk enable boot-sta>
Apr 27 10:19:07 spl-uf02.itproblog.ru splunk[2109]: Checking mgmt port [8089]: open
Apr 27 10:19:07 spl-uf02.itproblog.ru splunk[2109]: Checking conf files for problems...
Apr 27 10:19:07 spl-uf02.itproblog.ru splunk[2109]: Done
Apr 27 10:19:07 spl-uf02.itproblog.ru splunk[2109]: Checking default conf files for edits...
Apr 27 10:19:07 spl-uf02.itproblog.ru splunk[2109]: Validating installed files against hashes from '/opt/splunkforwarde>
Apr 27 10:19:07 spl-uf02.itproblog.ru splunk[2109]: 2025-04-27 10:19:07.534 +0700 splunkd started (build 6db836e2fb9e) pid=2109
Установка Splunk Universal Forwarder на Windows
Для установки Splunk Universal Forwarder (SUF) на Windows необходимо выполнить следующие шаги:
2. Скопировать установщик на сервер. Поскольку сервер в RDP, то буфер работает и копирование выполняется очень просто.
3. Запускаем установщик:
4. На странице с выбора директории для установки оставим стандартные значения:
5. Сертификат для шифрования я оставлю стандартный:
6. Запуск службы я буду выполнять от учетной записи локальной системы:
7. Метрики я пока собирать не буду:
8. Затем создадим учетную запись администратора:
9. Настройку сервера развертывания я пока пропущу – им мы займемся в следующий раз:
10. Адреса индексатором я тоже укажу чуть позже:
11. Поскольку мы не указали адрес сервера развертывания и не указали адреса индексатора, то установщик уведомит нас о том, что в таком случае SUF ничего полезного не сможет сделать.
12. Запустим установку и дождемся её окончания:
13. Запустим PowerShell и перейдем в директорию с исполняемыми файлами SUF:
cd "C:\Program Files\SplunkUniversalForwarder\bin"14. Добавим адреса индексаторов:
.\splunk.exe add forward-server 10.10.10.31:9997
.\splunk.exe add forward-server 10.10.10.32:9997
15. Перезапустим сервис SUF:
Restart-Service SplunkForwarderУстановка Splunk Universal Forwarder (SUF) завершена.