Splunk CLI 命令介绍

Splunk CLI 命令介绍

1 服务相关命令

命令 描述
splunk start 启动服务
splunk start –accept-license 第一次启动splunk时,自动接受许可不进行提示。多用于脚本自动安装
splunk start –answer-yes 在安装和升级时对提示回答:”Yes”
splunk start –debug 以详细日志记录模式启动Splunk
splunk start –seed-passwd admin@123 安装过程中给admin设置密码,如果检测到etc/passwd或user-seed.conf文件存在,则该命令将被忽略。
splunk start –gen-and-print-passwd 安装过程中给admin设置随机密码,并显示在命令行中。
splunk stop 停止Splunk服务
splunk restart 重新启动Splunk服务
splunk enable boot-start 启用splunk开机启动
splunk enable boot-start -user splunk 启用splunk开机启动并指定用户启动服务
splunk disable boot-start 禁用splunk开机启动
splunk version 查看splunk版本

2 Splunk list command

命令 描述
splunk [list|show] splunkd-port 查看splunkd是使用的端口号,一般为8089,为splunk管理端口
splunk [list|show] web-port 查看Splunk web界面端口号,默认为8000。
splunk [list|show] kvstore-port 查看Splunk kvstore使用的端口号,默认为8191。
splunk [list|show] appserver-ports 显示Splunk应用程序服务器监听的端口。
splunk [list|show] dfsmaster-port 显示DFS使用的端口。
splunk set web-port 80 将splunk web界面端口设置为80,需要重启splunk服务
splunk list indexer 显示该服务器上的所有索引
splunk list exec 显示改服务器配置的脚本输入
splunk list monitor 显示该服务器配置的目录和文件输入。注意:这将显示当前或最近被splunkd监视的文件和目录的变化。
splunk list tcp 显示该服务器配置的tcp输入
splunk list udp 显示改服务器配置的udp输入
splunk list indexer-discovery 显示此服务器配置的索引器发现
splunk list forward-server 显示Splunk转发器目标服务器列表
splunk list user 显示此服务器创建的用户
splunk list role 显示此服务器创建的角色
splunk list inputstatus 显示不同splunk输入的状态。
搜索头集群
splunk list shcluster-bundle 显示SearchHead Cluster部署节点中应用程序包的状态。
splunk list shcluster-config 显示当前SearchHead Cluster配置
splunk list shcluster-members 显示SearchHead Cluster成员信息
splunk list shcluster-captain-info 显示SearchHead Cluster Captain信息
splunk list shcluster-artifacts 显示SearchHead Cluster工件信息
splunk list shcluster-scheduler-jobs 显示搜索头集群调度程序作业信息
splunk list shcluster-member-info 显示SearchHead Cluster成员或对等体信息
splunk list shcluster-configuration-set 显示SearchHead Cluster节点集(配置的所有节点)
splunk list shcluster-member-artifacts 显示SearchHead Cluster成员工件信息

3 Splunk show command

命令 描述
splunk show web-port 显示Splunk Web监听的端口
splunk show splunkd-port 显示Splunk守护进程(splunkd)侦听的端口
splunk show kvstore-port 显示KV存储使用的端口
splunk show appserver-ports 显示Splunk应用服务器侦听的端口
splunk show dfsmaster-port 显示DFS使用的端口
splunk show default-hostname 显示用于所有数据输入的默认主机名
splunk show minfreemb 显示最小空闲磁盘空间阈值(如果空闲空间低于此量Splunk停止索引数据)
splunk show guid 给箱子的向导看
splunk show fips-mode 显示FIPS模式状态
splunk show servername 显示分布式搜索中使用的服务器名
splunk show datastore-dir 显示哪个目录用于Splunk的数据存储
splunk show log-level 显示当前日志级别
splunk show workload-management-status 查看工作负载管理状态
splunk show cascade-plan-status 查看级联计划状态
splunk show bundle-replication-status 查看知识包复制状态
splunk show bundle-replication-config 查看知识包复制配置信息
远程输出队列
splunk show remote-output-queue-config 查看远程输出队列配置
splunk show remote-output-queue-status 查看远程输出队列状态
splunk show remote-input-queue-config 查看远程输入队列配置
splunk show remote-input-queue-status 查看远程输入队列状态
splunk show maintenance-mode 显示是否在集群管理器上设置了维护模式。必须在集群管理器上调用
集群相关命令
splunk show cluster-bundle-status 查看”apply cluster-bundle”命令的状态
splunk show cluster-status 查看集群状态。详细模式为滚动升级添加了健康检查
splunk show shcluster-maintenance-mode 显示是否在shclustering的主节点上设置了维护模式。必须在主服务器上调用。
splunk show shcluster-status 查看搜索头集群的状态。
splunk show kvstore-status 查看KV Store集群状态。
splunk show kvstore 从归档文件中显示KVStore数据。
splunk show shcluster-kvmigration-status 查看KV Store迁移状态
splunk show shcluster-kvupgrade-status 查看KV Store升级状态
splunk show deploy-poll 显示将其配置为从哪个部署服务器轮询
splunk show scheduler-status 显示搜索调度器状态。

4 Splunk Index command

命令 描述
splunk list index [IndexName] 列出该服务器上的所有索引
splunk add index [IndexName] 在此服务器上添加索引
splunk edit index [IndexName] 编辑此服务器上的索引
splunk enable index [IndexName] 允许写入索引
splunk disable index [IndexName] 禁止写入索引
splunk remove index [IndexName] 删除索引
splunk reload index [IndexName] 重新加载索引配置,使所有”添加\编辑\启用\禁用索引”命令立即生效,因为上次重新加载或Splunk重新启动

5 Splunk CLI 常用命令

命令 描述
splunk list index 列出索引
splunk add index index_name 创建索引
splunk remove index index_name 删除索引
splunk disable index nginx_logs 禁用索引
splunk enable index nginx_logs 启用索引
splunk reload index nginx_logs 重新加载索引
splunk list index IndexName 查看索引相关信息
数据转发和接收
splunk display listen 显示全部splunk数据接收端口
splunk enable listen 9997 启用splunk 9997数据接收端口
web页面修改:设置>转发和接收>配置接收>新接收端口
splunk disable listen 9997 禁用splunk 9997数据接收端口
web页面修改:设置>转发和接收>配置接收>删除
forwarder
splunk add forward-server 192.168.10.12:9997 添加splunk数据转发目标服务器
splunk remove forward-server 192.168.10.12:9997 删除splunk数据转发目标服务器
splunk list forward-server 显示Splunk转发器目标服务器列表
splunk set deploy-poll 192.168.10.9:8089 给forwarder添加deploy(部署)服务器
monitor
splunk add monitor /var/log/audit -index index_name 添加监控项
splunk remove monitor /var/log/audit 删除监控项
splunk list monitor 显示监控项
User
splunk add user administrator -password ‘12345678’ -full-name ‘administrator’ -role ‘user’ 创建用户并设置密码和角色,password:密码参数、-full-name:用户全称参数、-role:角色参数
splunk edit user admin -password ‘1234qwer’ -role ‘admin’ -auth admin:12345678 修改用户密码并重新添加角色,password:密码参数、-role:角色参数、-auth:验证原密码
splunk remove user 删除用户
splunk list user 显示用户列表

6 Splunk CLI command Syntax

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
[root@splunk-searchhead ~]# splunk help
Welcome to Splunk's Command Line Interface (CLI).
    Type these commands for more help:
        help [command]             type a command name to access its help page
        help [object]              type an object name to access its help page
        help [topic]               type a topic keyword to get help on a topic
        help commands              display a full list of CLI commands
        help clustering            commands that can be used to configure the clustering setup
        help shclustering          commands that can be used to configure the Search Head Cluster setup
        help control, controls     tools to start, stop, manage Splunk processes
        help datastore             manage Splunk's local filesystem use
        help distributed           manage distributed configurations such as data cloning, routing, and distributed search
        help forwarding            manage deployments
        help input, inputs         manage data inputs
        help licensing             manage licenses for your Splunk server
        help settings              manage settings for your Splunk server
        help simple, cheatsheet    display a list of common commands with syntax
        help tools                 tools to help your Splunk server
        help search                help with Splunk searches
        
Universal Parameters:
        The following parameters are usable by any command. For more details on each parameter, type "help [parameter]".         

Syntax:
	[command] [object] [-parameter <value> | <value>]... [-uri][-auth]
      app        specify the app or namespace to run the command; for search, defaults to the Search app
      auth       specify login credentials to execute commands that require you to be logged in
      owner      specify the owner/user context associated with an object; if not specified,defaults to the currently logged in user
      uri        execute a command on any specified Splunk server. Use the format: <ip>:<port>
      Note: Both IPv4 and IPv6 formats are supported for specifying an IP address, for example:
      127.0.0.1:80 or "[2001:db8::1]:80". By default, splunkd listens on IPv4 only. To enable
      IPv6 support, refer to the instructions in:http://docs.splunk.com/Documentation/Splunk/latest/Admin/ConfigureSplunkforIPv6 
                
Objects:
	None
Required Parameters:
	None
Optional Parameters:
	None
Examples:
	None
Type "help [command]" to get help with parameters for a specific command.
Complete documentation is available online at: http://docs.splunk.com/Documentation
Splunk > 日常文章 > 日常笔记
#日常笔记 #Splunk #Splunk配置文件
Splunk CLI 命令介绍
https://hesc.info/c0903e89178f/
作者
需要哈气的纸飞机
发布于
2020年1月7日
许可协议