splunk/universalforwarder Docker Image Overview

splunk/universalforwarder

splunk

Universal Forwarder是一种轻量级组件，可作为边车或负载均衡池，用于收集数据并将其发送到外部Splunk环境。

68 收藏0 次下载

💣 CI/CD 卡在拉镜像？问题不在代码，在镜像源

中文简介版本下载

💣 CI/CD 卡在拉镜像？问题不在代码，在镜像源

Docker中的Splunk通用转发器

Splunk Enterprise是一个运维智能平台，可收集、分析技术基础设施、安全系统和业务应用生成的大数据，并基于这些数据提供洞察，以提升运维性能和业务成果。

通用转发器是一种轻量级组件，可用作边车或负载均衡池，用于收集数据并将其发送到外部Splunk环境。有关Splunk的功能特性及如何在组织中应用，请参阅Splunk产品。

前提条件

当前，此镜像仅支持Docker运行时引擎，且需要满足以下系统前提条件：

基于Linux的操作系统（Debian、CentOS等）
芯片组：
- splunk/splunk镜像支持x86-64芯片组
- splunk/universalforwarder镜像支持x86-64和s390x芯片组
内核版本>4.0
Docker引擎：
- Docker企业版引擎17.06.2或更高版本
- Docker社区版引擎17.06.2或更高版本
overlay2 Docker守护进程存储驱动

有关更多详细信息，请参阅官方的容器化Splunk环境支持的架构和平台以及硬件和容量建议。

快速入门

将通用转发器镜像下载到本地Docker引擎：

$ docker pull splunk/universalforwarder:latest

使用以下命令启动单个Splunk通用转发器实例：

$ docker run -d -p 9997:9997 -e "SPLUNK_START_ARGS=--accept-license" -e "SPLUNK_GENERAL_TERMS=--accept-sgt-current-at-splunk-com" -e "SPLUNK_PASSWORD=<password>" --name uf splunk/universalforwarder:latest

该命令的详细说明：

使用splunk/universalforwarder:latest镜像以分离模式启动Docker容器。
暴露主机9997端口到容器9997端口的映射。
指定自定义SPLUNK_PASSWORD - 请确保将<password>替换为符合Splunk Enterprise密码要求的任意字符串。
通过SPLUNK_START_ARGS=--accept-license和SPLUNK_GENERAL_TERMS=--accept-sgt-current-at-splunk-com接受许可协议。每个splunk/universalforwarder容器都必须显式接受此协议，否则Splunk将无法启动。**

Splunk通用转发器没有GUI，因此无法通过Web界面访问。相反，可以使用docker exec命令直接访问容器。容器进入“健康”状态后，运行以下命令：

$ docker exec -it -u splunk uf /bin/bash -c "/opt/splunkforwarder/bin/splunk status"
splunkd is running (PID: 575).
splunk helpers are running (PIDs: 577).

**：从Splunk Enterprise和Splunk Universal Forwarder的10.x镜像版本开始，许可接受需要额外的SPLUNK_GENERAL_TERMS=--accept-sgt-current-at-splunk-com参数。这表示用户已阅读并接受当前/最新版本的Splunk通用条款（可在此处获取，可能会不时更新）。除非您与Splunk共同签署了明确取代本协议的协商版本通用条款，否则访问或使用Splunk软件即表示您同意访问和使用时发布的Splunk通用条款。请在访问或使用本软件前阅读并确保同意Splunk通用条款，之后才应包含--accept-license和--accept-sgt-current-at-splunk-com标志以表明您接受Splunk通用条款并启动本软件。以下所有示例均已更新以反映此变更。