1、關閉所有機器的防火牆(主要是在Win7Splunk Server開防火牆)
2、在192.168.1.236上安裝Splunk
3、在192.168.1.237上安裝SplunkForward
Deployment Server:192.168.1.236:8089
Receiving Indexer:192.168.1.236:9997
Path to monitor處選擇,自己編寫的測試日誌文件
4、管理器、轉發和接收、配置接收、新增、9997
5、搜索index=_internal source=*forwarder*會有數據
(剛裝完時搜索index=_internal大約有2500條)
在安裝Splunk Forward之前搜索index=_internalsource=*forwarder*是沒有任何一條的
6、默認搜索,在輸入框中輸入匹配符“ * ”(或者index=default*)後會將自己編寫的測試日誌 文件搜出來。
7、如果是多行合一的話修改測試日誌文件中的某一行,再次搜索
或者在測試日誌中加入apache日誌時間戳[16/May/2013:00:07:22]
備註從9997傳來的數據存放目錄:C:\Program Files\Splunk\var\lib\splunk\defaultdb默認索引