Splunk 转发器未通过命令行进行配置

如果您只想摄取该框的本地数据，则无需在 Splunk 多合一框(搜索头 + 索引器)中设置转发位

当您对来自远程服务器的数据感兴趣时 您需要在其上安装一个 Splunk 通用转发器，该转发器目录/文件/脚本输出/等，并将其设置为将您在那里监视的所有数据转发到索引器 (每个转发器将共享该 outputs.conf 配置，因此您应该通过部署服务器而不是本地设置它)

你需要一个指向索引器的outputs.conf，并且在进行这些更改后必须重新启动splunkd。还需要在索引器上启用侦听。

您不会按照问题中的描述启用对 UF 的侦听，除非它是中间转发器

似乎您没有安装 Splunk 转发器，而是安装了 Splunk EP 单个实例。在转发器中，您将没有 UI。

因此，如果是通用转发器，您将首先将其指向部署服务器，该服务器可以将 outputs.conf 文件部署到转发器中，以告知索引器在哪里。从那时起，无论您是否有监视器，转发器都应该启动其内部日志到 Splunk 索引器。

如果像我想象的那样是单个实例，那么您可以从UI添加。 对于 Ansible 自动化，我想我们可以想到 2 种策略，

1. 通过 Splunk 配置文件实现自动化
2. 通过 Splunk cli 命令实现自动化(正如您在问题中尝试的那样)

需要注意的一件关键事情是，在现代系统中使用 Splunk 部署服务器进行自动化监控。 我只能在容器等系统中想到一个例外，您可能希望预先配置每个容器以使它们立即开始发送。

假设您的自动化将在集群环境中进行，您可能希望阅读更多关于 Splunk 架构的内容，检查您输入的命令：

splunk 添加转发服务器 本地主机：9997 -身份验证管理员：更改我 # 这是告诉通用转发器在哪里转发数据(通常是索引器，有时是 HF) 更多在这里， https://docs.splunk.com/Documentation/Forwarder/7.1.2/Forwarder/Configuretheuniversalforwarder

splunk add monitor/var/log # 这是在通用转发器上本地完成的，因为索引未定义，如果监控成功，它应该在 Splunk 端转到 index=main。 在 Forwarder 中，您可以在/opt/splunkforwarder/etc/system/local/inputs.conf 中找到命令的跟踪。 Splunk Enable listen 9997 -auth admin：changeme # 这只是告诉 Splunk 软件侦听传入流量。9997 是 Splunk 的默认数据端口 https://docs.splunk.com/Documentation/Forwarder/8.1.1/Forwarder/Enableareceiver

现在的问题：

1. 这取决于:)。 在单个实例中，您可以在 UI 或 .conf 文件中或通过 CLI 配置它们。 在多集群环境中，您将使用其他 Splunk 实例，例如部署服务器、许可证服务器、集群主服务器、搜索头部署程序。
2. 我相信你可以，但是，你需要有 2 个单独的安装，一个用于 splunk 索引器搜索头(单个实例)，一个用于 splunk 通用转发器。

在此之后，您将需要配置与 splunk 架构相关的端口。 这样， Splunk Enable Listen 9997 -auth admin：changeme 将在索引器上 与 Splunk 添加转发服务器本地主机：9997 -身份验证管理员：更改我 splunk add monitor/var/log 在转发器上。

3. 我相信建筑。Splunk 有几种部署架构。它们不是超级复杂。我个人在我的工作中混合了架构。 其次，UI就在那里， 但是我个人选择的第一个配置是 .conf 文件，然后是 CLI 命令(主要是故障排除时间，因为您可以同时进行其他测试)，然后是 UI。