Splunk 应用和插件

在本节中，我们将学习 Splunk 应用和插件、搜索和报告应用、搜索摘要视图、在哪里查找更多应用和插件等。它允许我们扩展 Splunk 平台的 功能。

应用程序或应用

一个 应用 是一个运行在 Project Splunk 上的应用程序。 应用旨在分析和显示有关特定来源或数据集的知识。 一个应用程序可能包含以下任何或所有配置

• 包含数据源和结构信息的仪表板和支持搜索。
• 用于管理数据源的身份验证和其他接口。
• 应用程序可以使用一个或多个插件来促进数据收集或配置。

有些程序是免费的，有些是付费的。 免费应用程序的示例包括 Microsoft Exchange Splunk App、AWS Splunk App 和 DB Connect Splunk。

插件

插件提供独特的功能，以帮助收集、标准化和丰富数据源。 它可能包括以下功能或全部功能

• 数据源输入配置。
• Splunk 业务数据排序和转换设置，用于构造数据。
• 用于数据丰富的查找文件。
• 支持知识对象。

示例包括 Splunk 插件 Checkpoint OPSEC LEA、Splunk 插件 Package 和 Splunk 插件 McAfee。

应用和插件支持

任何人都可以开发 Splunk 软件应用或插件。 Splunk 和我们的社区成员创建应用和插件，并在 Splunkbase 在线应用市场与 Splunk 软件的其他用户共享。 Splunk 不支持任何 Splunkbase 功能和插件。

搜索和报告应用

Splunk Enterprise 默认提供搜索和报告软件。 该框架提供 Splunk Enterprise 的核心功能。 当我们第一次登录 Splunk 站点时，Splunk 首页提供到设备的连接。

查找 Splunk 搜索和报告

1. 单击 Splunk 窗口右上角的 Splunk 徽标。 我们在 Splunk 首页上。
2. 在 Splunk 首页窗口中，单击 Apps 中的 搜索和报告。 它将打开搜索应用中的摘要屏幕视图。

搜索摘要视图

搜索摘要视图包含常用元素，包括应用程序菜单、Splunk 栏、应用程序栏、搜索栏和时间范围选择器。 搜索框下方的面板是搜索摘要视图独有的元素：如何搜索面板、搜索什么面板和搜索历史面板。

在下表中，我们总结了上述窗口的描述。

Splunk Web 配置直接打开一个应用

Splunk Web 可以配置为绕过 Splunk 首页，而是以我们选择的其他应用程序打开。 这称为默认设备配置。 虽然我们建议此更改必须由 Splunk 中的角色实施，但我们也可以为所有用户或每个用户设置一个默认应用程序。 对于该用户的角色，为特定用户设置的默认应用程序优先于标准应用程序。

按角色设置默认应用程序

我们可以为所有具有不同功能的用户的默认应用程序设置。 例如，使用“用户”功能，我们可以将所有用户发送到我们制作的应用程序，并将所有管理员用户发送到监控控制台。

对于所有具有类似职位的人员，绕过 Splunk 首页

1. 在 Splunk Web 中，单击 设置 > 访问控制。
2. 单击 角色
3. 单击我们要配置的角色的名称。
4. 使用现有的下拉按钮选择屏幕顶部出现的当前默认按钮。
5. 单击“保存”按钮。

为所有用户设置默认应用程序

我们可以选择一个默认应用程序，该应用程序将允许所有用户在登录时登录。 例如，将搜索应用设置为默认全局到

1. 或 编辑

2. 指定

3. 为了使更新生效，请重新启动 Splunk Enterprise。

为单个用户设置默认应用程序

在大多数情况下，应按功能设置默认应用程序。 但如果我们需要为我们的用例中的特定用户设置默认应用程序，我们可以通过 Splunk Web 执行此操作。

要将用户的搜索应用程序设置为默认登录应用程序

1. 在 Splunk Web 中，单击 设置 > 访问控制。
2. 单击 用户。
3. 单击我们要配置的用户的名称。
4. 在 默认应用程序 下，选择我们要设置为默认值的应用程序。
5. 单击 保存。

更改在没有重新启动的情况下发生。

在哪里查找更多程序和插件

可以在 Splunkbase 找到较新的功能和插件：https://splunkbase.splunk.com/。

Splunk Enterprise 仪表板也有助于我们搜索新功能。

如果我们已连接到互联网

如果我们将 Splunk Enterprise 服务器或客户端计算机连接到 互联网，我们可以从主页导航到 web 浏览器。

• 单击 + 符号直接进入最后一个已启用的 web 下方的 web 窗口。
• 我们还可以通过单击应用程序旁边的齿轮图标来转到设备管理器页面。 选择“转到 Web 窗口”以搜索更多内容。

注意：如果 Splunk Web 位于代理服务器后面，则可能难以访问 Splunkbase。 要解决此问题，我们需要设置环境变量 HTTP PROXY，如在 使用 Splunk Internet 中定义的反向代理配置。

如果我们未连接到互联网

如果我们的 Splunk Enterprise 服务器和客户端未连接到互联网，我们需要从 Splunkbase 下载应用并将其复制到我们的计算机上

1. 从已连接到互联网的计算机，浏览 Splunkbase 以查找我们想要的应用或插件。
2. 下载应用程序或插件。
3. 下载后将其复制到我们的 Splunk Enterprise 服务器中。
4. 将其放入我们的文件夹 $SPLUNK HOME / etc / apps。
5. 使用像 tar -xvf (* nix) 或 WinZip (在 Windows 上) 这样的工具来 解压 和 解压缩 我们的应用或插件。 请注意，Splunk 应用程序和插件捆绑了扩展名为. SPL，即使它们只是 tar 和 gzipped 的。 为了识别此扩展，我们可能需要强制我们的工具这样做。
6. 根据程序或插件的内容，我们可能需要重新启动 Splunk Enterprise。
7. 该软件或插件现在已激活，可以在 Splunk 首页找到。
   如果它有 Web UI 的一部分。