一、是什麼？

面向機器資料的全文搜尋引擎；

（使用搜索引擎的方式處理資料；支援海量級資料處理）

（機器資料是指：裝置和軟體產生的日誌資料、效能資料、網路資料包。這些資料都是一些非結構化的資料，我們可以統一將這些資料統一採集到splunk之後，splunk可以對這些資料進行索引、調查、監控、視覺化等。）

準實時的日誌處理平臺；

基於時間序列的索引器；

大資料分析平臺；

一體化的平臺：資料採集->儲存->分析->視覺化；

通用的搜尋引擎，不限資料來源，不限資料格式；

提供榮獲專利的專用搜索語言SPL(Search Processing Language)，語法上類似SQL語言

Splunk Apps 提供更多功能

（針對作業系統、思科網路裝置，splunk都提供了專用的APP，接入資料來源都可以看到直觀的儀盤表。）

二、產品

Splunk Enterprise【企業版】

Splunk Free【免費版】

Splunk Cloud、Splunk Hunk【大資料分析平臺】

Splunk Apps【基於企業版的外掛】

三、元件

索引器：索引器是用於為資料建立索引的Splunk Enterprise 例項。索引器將原始資料轉換為事件並將事件儲存至索引(Index)中。索引器還搜尋索引資料，以響應搜尋請求。

搜尋頭：在分散式搜尋環境中，搜尋頭是處理搜尋管理功能、指引搜尋請求至一組搜尋節點，然後將結果合併返回至使用者的Splunk Enterprise 例項。如果該例項僅搜尋不索引，通常被稱為專用搜索頭。

搜尋節點：在分散式搜尋環境中，搜尋節點是建立索引並完成源自搜尋頭搜尋請求的Splunk Enterprise例項。

轉發器：轉發器是將資料轉發至另一個Splunk Enterprise 例項（索引器或另一個轉發器）或至第三方系統的Splunk Enterprise 例項。

接收器：接收器是經配置從轉發器接收資料的Splunk Enterprise 例項。接收器為索引器或另一個轉發器。

應用：應用是配置、知識物件和客戶設計的檢視和儀表板的集合，擴充套件Splunk Enterprise 環境以適應Unix 或Windows 系統管理員、網路安全專家、網站經理、業務分析師等組織團隊的特定需求。單個Splunk Enterprise 安裝可以同時執行多個應用。

四、Linux上安裝Splunk

1)、wget下載tgz的壓縮包。

2)、解壓縮：#tar -zxvf splunk-6.5.1-f74036626f0c-Linux-x86_64.tgz -C /opt (預設我們解壓到/opt目錄下)

3)、splunk的可執行程式都放在/opt/splunk/bin/下，啟動該程式應執行splunk，splunk命令引數如下：

./splunk

start      //啟動splunk

--accept-license  //自動接收許可

restart   //重啟splunk

status    //檢視splunk狀態

version   //檢視splunk版

開始啟動的時候記得記住加上–accept-license，這樣更便於我們安裝。

4)、Web埠預設8000，瀏覽器訪問：http://192.168.233.128:8000

預設賬號密碼：admin/changeme

5)、使用