1. Cài đặt và cấu hình Splunk trên máy chủ

Tải Splunk Enterprise (ví dụ: phiên bản .deb cho Ubuntu). Trong phần tải xuống, chọn Linux và sau đó chọn định dạng .deb (Debian package) phù hợp với Ubuntu. Nếu muốn tải qua dòng lệnh, chọn tùy chọn Download via Command Line (wget) để lấy link tải trực tiếp.

ls kiểm tra file tải xuống

Chạy lệnh sau để cài Splunk: sudo dpkg -i splunk-10.0.0...

Sau khi cài đặt hoàn tất, sử dụng lệnh sau để khởi chạy Splunk lần đầu: sudo /opt/splunk/bin/splunk start --accept-license -- . Lệnh này sẽ yêu cầu bạn chấp nhận giấy phép sử dụng. Nhấn y để đồng ý. Tạo tài khoản admin với tên người dùng và mật khẩu

Truy cập giao diện web của Splunk:

Cấu hình để nhận log: Đi tới Settings > Forwarding and receiving > Configure receiving > Add new và thêm cổng 9997

2. Cấu hình Splunk lấy log từ máy win 10

Tải về phiên bản UF phù hợp với máy

Chạy file .msi với quyền admin

sử dụng tài khoản hệ thống cục bộ của máy tính để truy cập dữ liệu

chọn các loại log muốn giám sát

nhập username và password của tài khoản đã cấu hình ở Splunk server

địa chỉ ip của splunk server

cài đặt

kiếm tra xem đã được chuyển hướng đến địa chỉ IP của server chưa

cấu hình UF để gửi dữ liệu đến server

Kiểm tra thấy đã thu được log từ Win10