Portanto, tenho um conjunto de servidores que desejo adicionar ao servidor corp Splunk para que eu possa acessar os registros de todos os meus servidores Mac com mais facilidade. O problema que tenho é que há instruções de configuração para o Mac, tudo que eu encontrei foi unix ou Linux. Eu tenho um documento que me foi dado, mas sei que tenho que fazer todos os passos mencionados. Talvez alguém já tenha feito isso? De qualquer forma, para começar, a primeira coisa que se diz é criar uma conta de spunk e um grupo em uma máquina e configurar a conta para que ela não possa ser conectada. Como faço isso em um mac. Eu sei que a maioria Linux tem um useradd que pode ser executado, mas eu não sei se isso é mesmo nessacary em um mac. Aqui estão as paradas no documento que estou tentando traduzir.
Adicionando um redirecionador Splunk no ambiente do Non Deployment Manager
Pré-requisitos:
Trabalhe com seu administrador do splunk para determinar o índice, o tipo de fonte, o tempo de retenção de dados e o tamanho máximo do log por dia para indexação em splunk antes de enviar qualquer dado para o splunk.
Faça o download do Splunk Universal Forwarder para sua plataforma usando um pacote (não um tarball - isso é importante para não ser executado como root) link
O daemon splunk, por padrão, escuta na porta 8089 (e 8000 para o agente completo splunk). Não há motivos para abrir brechas de firewall para essas portas. Na verdade, se for um sistema seguro, é recomendável não colocar lacunas no sistema para essas portas.
Crie um usuário splunk na sua caixa
useradd splunk -d / opt / splunkforwarder groupadd splunk
** Configure o usuário do splunk para que ele não possa estar logado! - pelas melhores práticas da sua distribuição * nix em particular
Instale o encaminhador universal no sistema usando um método de pacote (não use o tarball) em / opt / splunkforwarder. (Mas não comece ainda)
Corrija a permissão do diretório:
chown -R splunk: splunk / opt / splunkforwarder
Iniciar o splunk no encaminhador como usuário do splunk:
sudo su - splunk / opt / splunkforwarder / bin / start do splunk - licença de aceitação
Altere a senha do administrador do splunk para algo seguro, mas diferente de outras senhas seguras:
/ opt / splunkforwarder / bin / splunk editar usuário admin -password "newpass" -auth admin: changeme
Configure o splunk para iniciar a inicialização do sistema - Splunk:
sudo su - / opt / splunkforwarder / bin / splunk habilitar boot-start -user splunk