为 splunk 打开 FW 端口

Question

我需要打开一些防火墙端口，以便我们服务器上的 splunk 代理可以与 Splunk 通信。

我们的 splunk 设置分为以下服务和端口：

 Splunk Web/API  443, 8009, 8090, 8089
 Splunk Cluster Master 8000, 8001
 Splunk Deployment Server   8000, 8002, 8089
 Splunk Intermediate Forwarder TCP:6514:6514,6515,6516
                               TCP:514:10514,10515,10516
                               TCP:9997:9997,9998,9999
                               TCP:11514:11514
                               TCP:11515:11515
                               TCP:11516:11516
                               TCP:11517:11517

我需要打开哪些端口，以便 splunk 代理可以将日志发送到 splunk 服务器？这样您在配置中指定的来自该服务器的所有日志都将显示在 splunk 界面中？

Answer 1

基线：转发器需要连接到indexer:9997和deployment-server:8089。这些是角色。 indexer 也可以是“胖转发器”。

顺便说一句：

1. 您使用了一种奇怪的格式来显示打开的端口，请检查并忽略不严格用于服务主要目的的端口。 （即部署服务器在 8002 端口接收什么？）
2. 取决于 1。我可以详细说明这个答案

Answer 2

所有管理功能（部署、许可等）都在端口 8089 上进行。
Splunk 的默认数据摄取端口通常是 9997，太好了……

1. 如果您想从部署服务器配置转发器，请确保它可以通过端口 8089 访问您的部署服务器

2. 如果您希望配置的转发器将数据发送到索引器，请在您的转发器和所有索引器之间打开端口 9997。我说全部是因为我不确定您是否有集群。

这是为了获取数据。如果您正在复制数据，或者有一个搜索头集群或集群主控，那么情况会有所不同。

端口 8000 用于访问 Splunk Web，端口 8090 通常是任何 Splunk CORE 设备上 HTTP 输入的默认端口。

之后，端口看起来自定义保存 514（系统日志）。您可能需要深入了解您的部署并找出这些端口上的内容。

Answer 3

根据您的询问，我认为端口 9997 将是需要允许从 splunk 代理到 Splunk 服务器的端口

Answer 4

查看这个 Splunk 组件通信的可视化表示，由 Aplura 提供 https://www.aplura.com/assets/images/splunk_common_ports.png