План развития навыков администрирования Splunk — День 19 — Управление конфигурациями Splunk Lab

Описание: План развития Splunk для администраторов — объяснение управления конфигурацией и приоритетов

В этом видео мы узнаем, как конфигурационные файлы Splunk управляют всем поведением вашей тестовой среды Splunk.

Каждое видимое изменение в пользовательском интерфейсе Splunk на самом деле исходит из конфигурационных файлов бэкэнда.

Мы изменим конфигурации как в бэкэнде, так и в пользовательском интерфейсе и понаблюдаем за реакцией Splunk.

Что вы узнаете:
Изменение поведения Splunk через конфигурационные файлы
Изменение имени сервера через бэкэнд (server.conf)
Перезапуск Splunk и проверка изменений в пользовательском интерфейсе
Обновление тех же настроек через пользовательский интерфейс и наблюдение за обновлениями в бэкэнде
Понимание того, как пользовательский интерфейс записывает изменения в конфигурационные файлы

Понимание важных конфигурационных файлов:
Мы рассмотрим, где хранятся различные настройки:
server.conf → Настройки уровня сервера
web.conf → Настройки, связанные с веб-интерфейсом (порты, SSL, таймаут)
Поведение порта управления и имени хоста
Таймаут сессии и порог индексации диска
Мы также изменим веб-порт Splunk (8000 → 8001 → 8000) и проверим доступ.

Ввод данных с помощью конфигурационных файлов
Вместо ввода данных через пользовательский интерфейс, мы настраиваем ввод данных вручную:
Подключение к Universal Forwarder
Редактирование inputs.conf
Добавление раздела мониторинга
Мониторинг файла журнала Linux /var/log/messages
Перезапуск Forwarder
Проверка журналов в _internal и главном индексе

Приоритет конфигурационных файлов (очень важная концепция)
Splunk объединяет несколько конфигурационных файлов, используя правила приоритета.

Порядок приоритета во время индексации
system/local (наивысший приоритет)
apps/*/local (в алфавитном порядке)
apps/*/default
system/default (наименьший приоритет)
Splunk объединяет все конфигурации в одну эффективную конфигурацию.

Порядок приоритета во время поиска
Личные конфигурации пользователя (каталог пользователей)
Текущий контекст приложения
Другие приложения
Системные конфигурации
Благодаря этому у каждого пользователя могут быть разные извлечения полей и панели мониторинга.

К концу этого видео вы поймете:
✔ Как пользовательский интерфейс Splunk управляется конфигурациями бэкэнда
✔ Как редактировать server.conf, web.conf, inputs.conf
✔ Как вручную подключать журналы с помощью пересыльщика
✔ Приоритет конфигурации во время индексации и во время поиска
✔ Где Splunk фактически хранит настройки. План развития Splunk Admin – объяснение управления конфигурацией и приоритета.
В этом видео мы узнаем, как файлы конфигурации Splunk контролируют все поведение вашей тестовой среды Splunk.
Каждое видимое изменение в пользовательском интерфейсе Splunk фактически исходит из файлов конфигурации бэкэнда.
Мы будем изменять конфигурации как из бэкэнда, так и из пользовательского интерфейса и наблюдать за реакцией Splunk.

Что вы узнаете
Изменение поведения Splunk через конфигурационные файлы
Изменение имени сервера через бэкэнд (server.conf)
Перезапуск Splunk и проверка изменений в пользовательском интерфейсе
Обновление тех же настроек через пользовательский интерфейс и наблюдение за обновлениями в бэкэнде
Понимание того, как пользовательский интерфейс записывает изменения в конфигурационные файлы

Понимание важных конфигурационных файлов
Мы рассмотрим, где хранятся различные настройки:
server.conf → Настройки уровня сервера
web.conf → Настройки, связанные с веб-интерфейсом (порты, SSL, таймаут)
Поведение порта управления и имени хоста
Таймаут сессии и порог индексации диска
Мы также изменим веб-порт Splunk (8000 → 8001 → 8000) и проверим доступ.

Ввод данных с использованием конфигурационных файлов
Вместо ввода данных через пользовательский интерфейс мы настраиваем ввод данных вручную:
Подключение к Universal Forwarder
Редактирование inputs.conf
Добавление раздела мониторинга
Мониторинг файла журнала Linux /var/log/messages
Перезапуск Forwarder
Проверка журналов в _internal и главном индексе

Приоритет конфигурационных файлов (очень важная концепция)
Splunk объединяет несколько конфигурационных файлов, используя правила приоритета.

Порядок приоритета во время индексации
system/local (наивысший приоритет)
apps/*/local (в алфавитном порядке)
apps/*/default
system/default (наименьший приоритет)
Splunk объединяет все конфигурации в одну эффективную конфигурацию.

Порядок приоритета во время поиска
Личные конфигурации пользователя (каталог пользователей)
Текущий контекст приложения

Другие приложения
Системные конфигурации
Поэтому у каждого пользователя могут быть разные извлечения полей и панели мониторинга.

К концу этого видео вы поймете:
✔ Как пользовательский интерфейс Splunk управляется конфигурациями бэкэнда
✔ Как редактировать файлы server.conf, web.conf, inputs.conf
✔ Как вручную подключать журналы с помощью пересыльщика
✔ Приоритет конфигурации во время ин...