Итак, у меня есть набор серверов, которые я хочу добавить на сервер Corp Splunk, чтобы мне было проще получить доступ к журналам для всех моих серверов Mac. У меня проблема в том, что есть инструкции по настройке Mac, все, что я нашел, было Unix или Linux. У меня есть документ, который мне дали, но я знаю, знаю, должен ли я сделать все шаги, которые он упоминает. Может быть, кто-то уже сделал это? Во всяком случае, для начала первое, что он говорит, - это создайте на компьютере спанковскую учетную запись и группу и настройте учетную запись, чтобы в нее нельзя было войти. Как мне это сделать на Mac. Я знаю, что в большинстве Linux есть useradd, который можно запустить, но я не знаю, является ли это вообще обязательным для Mac. Вот остановки в документе, который я пытаюсь перевести.
Добавление перенаправителя Splunk в среде не Deployment Manager
Предпосылки:
Работайте с администратором Spunk, чтобы определить индекс, тип источника, время хранения данных и максимальный размер журнала в день для индексации в Spunk перед отправкой любых данных в Spunk.
Загрузите Splunk Universal Forwarder для вашей платформы, используя пакет (не tarball - это важно, если вы не являетесь пользователем root) https://www.splunk.com/page/sign_up/download
Демон splunk по умолчанию прослушивает порт 8089 (и 8000 для агента полного набора). Нет причин открывать дыры в брандмауэрах для этих портов - на самом деле, если это безопасная система, рекомендуется не создавать дыр в системе для этих портов.
Создайте на своем ящике спленка
useradd splunk -d /opt /splunkforwarder groupadd splunk
** Настройте пользователя Splunk, чтобы в него нельзя было войти! - в соответствии с лучшими практиками вашего конкретного * nix дистрибутива
Установите универсальный сервер пересылки в системе, используя метод пакета (не используйте tarball) в /opt /splunkforwarder. (Но НЕ НАЧИНАЙТЕ ЕГО)
Исправьте разрешение каталога:
chown -R splunk: splunk /opt /splunkforwarder
Запустите Splunk на сервере пересылки как пользователь Splunk:
sudo su - spunk /opt /splunkforwarder /bin /splunk start --accept-license
Измените дополнительный пароль администратора на какой-нибудь безопасный, но отличный от других надежных паролей:
/opt /splunkforwarder /bin /splunk изменить пользователя admin -password "newpass" -auth admin: changeme
Настройте Splunk для запуска при запуске системы - Splunk:
sudo su - /opt /splunkforwarder /bin /splunk включить boot-start -user splunk