本文共 1555 字，大约阅读时间需要 5 分钟。

<Splunk Light> 别称： google for IT 口号：Take the sh out of IT # 下载 http://www.splunk.com/en_us/download/splunk-light.html # 解压 unzip splunklight-6.3.2-aaff59bb082c-Linux-x86_64.tgz mv splunklight-6.3.2-aaff59bb082c-Linux-x86_64 splunklight-6.3.2 # 启动 cd /appl/splunklight-6.3.2 bin/splunk start （第一次启动需要同意license，关闭同理：bin/splunk stop） # 检查 bin/splunk status # 开启remote端口给主机访问 /sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT /etc/init.d/iptables save service iptables restart # 访问 http://192.168.56.250:8000 # 初始账号 admin/changeme（改为你的新密码） # 使用 （1）开始使用时，需要添加数据

（2）有三种方法添加数据：上载、监视和转发

（3）索引数据后，可以开始搜索

（4）使用搜索处理语言生成可视化

（5）可以将搜索保存为例如电子邮件通知等触发操作的告警

（6）使用边栏菜单

# 我觉得Splunk中几个很棒的功能 （1）自动换行 （2）可视化正则filter 这在logstash中是全手工正则非可视化配置的~~ a. 新建字段 b. 引入字段 这样，搜索栏就可以使用新建字段了 （3）上文中的告警 # 可视化 （1）先保存搜索条件为仪表板面板 （2）去到仪表板菜单，编辑面板 （3）右边图形选择图标，默认事件，这里可以选不同图形 # log /appl/splunklight-6.3.2/var/log/splunk/  (splunkd.log,splunkd_stderr.log,web_access.log) # 配置 /appl/splunklight-6.3.2/etc/system/default /appl/splunklight-6.3.2/var/run/splunk/merged /appl/splunklight-6.3.2/etc/system/README ... # 参考 http://blog.csdn.net/yangning5850/article/details/10373417 http://docs.splunk.com/Documentation/SplunkLight/latest/GettingStarted/StartSplunkLightandlogintoSplunkWeb # Q&A Q：Splunk Light vs. Splunk Enterprise

A：http://www.splunk.com/en_us/products/splunk-light/splunk-light-vs-splunk-enterprise.html

Q：Splunk底层的搜索技术为何？是 Lucene吗？

A：Splunk已开发出其特有、专为实时制作IT数据索引的独特问题所设计的搜索技术。Splunk的研发团队包括某些世界最优秀的搜索引擎架构工程师，耗费数年时间以解决这类型数据所独有的问题。

Q：其它常见问题 A：http://www.splunk.com/zh-hans_cn/view/SP-CAAAC9H