简介

Splunk是一个漂亮的系统,可以让您摄取和解析基本上任何类型的基于事件的数据,然后查询它以查找趋势、警报和任何您想要的信息。许多公司使用它来筛选日志数据以挖掘出有用的信息。一旦你对它有所了解,它实际上比一开始听起来要酷得多,而且用途广泛。您可以使用它来处理大量不同类型的数据。

我的公司有一个大型 Splunk 安装,我的老板希望我在一个项目中使用它。但我以前从未使用过 Splunk,所以我四处寻找一些教程。现在,您遇到的大多数 Splunk 教程要么假设您已经安装了 Splunk 可以玩,要么鼓励您安装 Splunk 在其网站上提供的 Splunk 软件(在您创建帐户等之后)我当然没有想通过工作生产系统的教程练习,我也不想在我的开发机器上安装软件。进入码头工人。

Docker 的一大优点是它是一种无需在系统上实际安装任何东西即可试用软件的简单方法——让我们面对现实吧,安装仅用于测试的软件充其量是混乱的,最坏的情况是危险的。幸运的是,Splunk 在 Docker Hub 上提供了一个 Splunk Enterprise 版本。我让它对我来说很好用,但是需要一些小调整才能让它滚动起来。

启动它

我将假设您了解 Docker 的基础知识并且已经将它安装在您的系统上。

1. 转到Docker Hub并登录您的帐户。

2. 找到Splunk Enterprise页面的方式

3. 在页面右侧,您会看到您必须以 0.00 美元的价格“购买”免费计划。去结帐并完成动作。你不需要信用卡或任何东西——它是免费的。当然,这只是一个“试用”版本——它从功能齐全的 Splunk Enterprise 开始,一段时间后变成“Splunk Free”,将您的流量限制为 500MB/天。仍然有足够的时间来完成一些教程。

4. 打开命令行。我们需要确保使用我们刚刚用于注册 Splunk 映像并运行的凭据访问 Docker Hub:

docker login

5. 让我们下载 Splunk 镜像:

docker pull store/splunk/splunk:7.3

6. 现在我们可以启动容器了。三个注意事项:

一个。我选择了一个愚蠢的密码,但它符合 Splunk 的密码要求。如果你自己选择,那很好,但如果你不符合他们的要求,容器会自动关闭。

湾。除了主界面端口 8000 之外,我还打开了用于HTTP Event Collection的端口 8088,以防您想通过 POST 请求向 Splunk 发送事件。 (我做到了。)

C。命令末尾的“开始”是必要的。他们在 Docker Hub 上的页面中的示例命令没有显示它。

docker run -d -p 8000:8000 -p 8088:8088 -e SPLUNK_START_ARGS=--accept-license -e SPLUNK_PASSWORD=123ABCdef! store/splunk/splunk:7.3 start

7. 一旦我们运行容器,它会输出一个大而长的十六进制标识符,即容器 ID。如果您通过运行docker container ls多次检查容器,它应该在半分钟左右的时间内从状态“开始”变为“健康”。一旦它是健康的,我们可以尝试通过转到http://localhost:8000/并使用用户名 admin 和您作为上面“SPLUNK_PASSWORD”传递的密码来连接它,在我的示例 123ABCdef!

现在您应该登录到本地 Splunk 实例并能够做任何您想做的事情。 注意这个实例是完全短暂的,也就是说在这个容器之外没有永久存储 - 如果你将数据加载到它里面,玩弄它,关闭它并放下容器,你的数据和报告将消失。这严格来说是为了玩弄 Splunk 而不是为了进行任何类型的真实部署。这远远超出了我们在这里所做的范围。我们只是想要一个 Splunk 实例搞砸然后扔掉。

此时,您可以直接跳到Splunk 的官方教程- 请记住,当您遵循教程时,您在这里运行的是“Splunk Enterprise”而不是“Splunk Cloud”。他们会给你一些样本数据上传然后你就走了!

关机

当你全部完成并想摆脱它时,你可以做docker container ls来提醒自己容器 ID。然后用docker container stop <containerid>停止它,最后用docker container rm <containerid>删除容器