自动发送数据,以建立索引
转发器可从多个源提供可靠的安全数据集合,并将数据交付到 Splunk Enterprise 或 Splunk Cloud 以建立索引和分析。 转发器类型多种多样,但最常见的类型是通用转发器 — 一种直接安装在端点上的小型分布代理。转发器会自动将基于文件的任何类型数据发送到 Splunk 索引器。在大部分情况下,其中会包含一些类型的日志事件,但文件可以任何格式的数据。
通用转发器采用集中管理且无需配置,对端点操作完全透明。大型 Splunk 客户会部署数千台通用转发器,以从服务器、应用程序、员工端点和任何基于 Windows 或 Unix 的系统收集数据,而不论位置如何。
通用转发器:
- 从远程系统实时安全转发数据
- 端点的最少资源开销及对其性能的影响
- 支持数千种机器数据格式
- 提供多种功能,例如 SSL、压缩和缓冲
可靠安全数据集合
转发器会使用 TCP 套接字进行通信,以确保消息送达。转发器可以检测网络中断,并自动将故障转移到其他目标索引器或本地缓冲事件,直到目标索引器重新可用。配置索引器提供索引侧确认,以表明已接收到数据。可以配置转发器和索引器之间的通信使用 SSL 身份验证和加密。
集中管理和监控
集中管理转发器会简化环境中数百台或数千台转发器的管理工作。转发器管理包含的可视化界面可部署数千个配置、监控转出状态并跟踪错误。此外,转发器也可以通过 Splunk REST API 进行远程管理和配置。分布式管理控制台可在包含转发器-索引器映射的可视化界面中提供功能强大的监控功能。
其他功能
- 通过 SCCM、Chef 或 Puppet 等现有部署解决方案,快速回复转发器
- 实际上,转发器支持任何机器数据格式,并且可在最新的操作系统上运行。
- 未设计、部署或购买数据库方案、解析器或连接器
- 转发器可以负载平衡多个索引器之间的数据、路由原始格式的数据以继承第三方系统、复制数据以允许高可用性,并有条件地将数据路由到不同位置,以支持多租户环境。