为splunk打开FW端口

时间:2016-11-17 18:25:56

标签: splunk

我需要打开一些防火墙端口,以便我们服务器上的splunk代理可以与Splunk通信。

我们的splunk设置分为以下服务和端口:

 Splunk Web/API  443, 8009, 8090, 8089
 Splunk Cluster Master 8000, 8001
 Splunk Deployment Server   8000, 8002, 8089
 Splunk Intermediate Forwarder TCP:6514:6514,6515,6516
                               TCP:514:10514,10515,10516
                               TCP:9997:9997,9998,9999
                               TCP:11514:11514
                               TCP:11515:11515
                               TCP:11516:11516
                               TCP:11517:11517

我需要打开哪些端口才能让splunk代理将日志发送到splunk服务器?那么您在配置中指定的来自该服务器的所有日志都将显示在splunk界面中?

4 个答案:

答案 0 :(得分:1)

基线:转发商需要连接到indexer:9997deployment-server:8089。这些是角色。 indexer也可以是"胖转发器"。

顺便说一下:

  1. 您使用奇怪的格式显示开放端口,请检查并省略不严格用于服务主要目的的端口。 (即部署服务器在端口8002上接收什么?)
  2. 取决于1.我可以更详细地解释这个答案

答案 1 :(得分:0)

所有管理功能(部署,许可等)都在端口8089上发生。
Splunk的默认数据接收端口通常是9997,如此...

  1. 如果要从部署服务器配置转发器,请确保它可以通过端口8089到达部署服务器

  2. 如果要配置的转发器将数据发送到索引器,请在转发器和所有索引器之间打开端口9997。我说全部是因为我不确定您是否有集群。

这是为了获取数据。如果您复制数据,或者具有搜索头集群或集群主服务器,则情况会有所不同。

端口8000用于访问Splunk Web,任何Splunk CORE设备上的HTTP输入通常默认使用端口8090。

在那之后,端口看起来是自定义保存514(系统日志)。您可能需要深入研究部署并弄清楚这些端口上将要出现的情况。

答案 2 :(得分:0)

从您的要求来看,我认为端口9997将是从splunk代理到Splunk服务器需要允许的端口

答案 3 :(得分:0)

请查看 Aplura 的Splunk组件通信的直观表示形式 https://www.aplura.com/assets/images/splunk_common_ports.png

相关问题
最新问题