OS:ubuntu server 8.04.1
软件:splunk-3.3.2-41320-Linux-i686
什么是Splunk?
Splunk 是一个运行于 Unix 环境下的日志分析软件.与 Google Analytics 这一类的 Web 日志分析软件的不同之处在于,Splunk 可以支持任何服务器产生的日志,其对日志进行处理的方式是进行高效索引之后让管理员可以对日志中出现的各种情况进行搜索,并且通过非常好的图形化的方式展现出来。

每天由各种服务器所产生的日志的数量是非常惊人的,而遇到突发情况时,却往往能够从这些海量日志中找到最多的有用消息。通常在 Unix 下对日志进行查找使用的是 grep 之类的低效率的方式,而 Splunk 使用了现代搜索引擎技术对日志进行搜索,同时提供了一个非常强大的 AJAX 式的界面展现日志。

Splunk 是一款对 IT 管理员非常有用、非常专业的工具。也正因为如此,与其他 Linux 下的其他日志分析软件不同,Splunk 是一个商业软件,但是其提供了可以自由使用的 Splunk Server 可以免费下载,而如果需要更多的比如 Live Splunks,Splunk Sync 这样的功能的话,则需要购买价格从 $2500 到 $37500 的 Splunk Professional 的授权

这是一个让我觉得感动的软件,如同 Google Analytics 一样,只要能够把一个产品踏踏实实地在一个领域中做到最专业,这个过程本身就让人觉得兴奋,而结果更是自然而然地成功!

1.下载软件包,只要在官方网注册一个帐号即可以免费下载,他有RPM,DEB,tgz 包,我下载的tgz包。
URL [url]http://www.splunk.com/download[/url]
#tar zxvf splunk-3.3.2-41320-Linux-i686.tgz
把他移动到你想要它运行的目录
#mv splunk /usr/loca/
2.安装服务
#cd /usr/local/splunk/bin/
#./splunk start
它会自动帮你安装服务`到最后你可以看到 The Splunk web interface is at [url]http://ludy:8000[/url]
If you get stuck, we're here to help.  Feel free to email us at '[email]support@splunk.com[/email]'.
说明安装成功了看下端口连接。
#netstat -ant
看到 tcp     0     0 0.0.0.0:8000   0.0.0.0:*       LISTEN
     tcp     0     0 0.0.0.0:8089   0.0.0.0:*       LISTEN
说明已经可以访问了。输入[url]http://localhost:8000[/url]看看吧~~
3.设置开机自动启动~
ln -s /usr/local/splunk/bin/splunk /etc/rc2.d/S80splunk
放到服务里面
ln -s /usr/local/splunk/bin/splunk /etc/init.d/splunk
好了现在可以 开机自动运行了。
4.设置分析日志目录~
打开[url]http://localhost:8000[/url]

点击 Admin然后在

选中 Data inputs , 点击右侧的Files&Directories

点击 New input按扭

在full path on server 输入你的syslog server 的log具体地址,我这里是/var/log 可以看到上面还可以上传本地文件呢呵呵,很强大啊。输入你的log地址后点 Submit 提交保存~返回主页,可以点击上面的大splunk logo就返回主页了,现在可以搜索日志了,我搜索kernel看下

呵呵还可以看到图呢`不错吧`?

注意:如果你是rad hat 发行版的话~
要把selinux关掉,或者修改splunk-launch.conf
SPLUNK_IGNORE_SELINUX=1
执行命令
#chcon -c -v -R -u system_u -r object_r -t lib_t $SPLUNK_HOME/lib 2>&1 > /dev/null
selinux是个很神秘的东西,本人菜不懂呵呵~
就写这么多如果哪里有问题请各位大侠指教`