今天我们将讨论将数据上传到
Splunk的代理(转发器)。 在本文中,我们将简要讨论什么是什么,什么类型,它们之间的区别以及在什么情况下使用一个或另一个转发器更好。
正确的数据加载是任何数据系统中最成问题的问题。 数据传输可以通过多种方式进行,但是最常见的方式是使用转发器。
Splunk转发器具有以下优点:
- 标记元数据(源,源类型和主机)
- 自定义缓冲
- 资料压缩
- SSL协议
- 使用任何可用的网络端口
在决定要使用转发器转发数据之后,会出现以下问题:哪个转发器最适合使用?
有
两种类型的转发器 :
- 通用转发器 ,仅包含数据传输所需的那些组件。
- Heavy Forwarder ,是一个成熟的Splunk Enterprise,除了传输数据外,还可以索引,执行搜索查询和修改数据。
通用货运代理
与使用重型转发器相比,通用转发器具有多个优点。 因此,如果没有使用重型转发器的特定先决条件,通常建议使用它,我们将在后面讨论。
最显着的优势是,与其他Splunk软件产品相比,Universal Forwarder使用的硬件资源少得多。 它装载较少的CPU,占用较少的内存并占用较少的磁盘空间。 与其他Splunk产品相比,它还具有更大的可扩展性,因为您可以安装1000多个实例,这些实例不会对网络和主机性能产生重大影响。
另一个优点是可以在许多不同平台上安装。 它不仅可以安装在Windows,Linux和Mac OS(如Splunk Enterprise)上,还可以安装在Solaris,FreeBSD和AIX上。
Universal Forwarder可作为单独的安装软件包提供,并且仅包含将数据发送到Splunk平台的其他实例所需的必要组件。 尽管它没有Web界面,但仍可以通过编辑配置文件进行自定义,管理和缩放。
为了获得更好的性能,Universal Forwarder有几个限制:
- 无法在本地执行索引和搜索查询。
- 您无法设置警报。
- 仅当结构化数据时,才可以在索引之前分析传入的数据流。
- 不包括Python。
可以在
此处找到如何安装和配置Universal Forwarder。
重型货运代理
尽管通用转发器是发送数据的首选方式,但是如果需要在发送之前分析或更改数据,或者需要根据数据的内容控制数据的位置,则可能需要重型转发器。
Heavy Forwarder的主要优点之一是,即使在非结构化数据中,它也可以过滤掉不需要的事件,这将减少索引量,并且许可证的大小取决于此。
的确,应该注意的是,使用重型转发器会增加网络流量,CPU和内存使用率。 这是因为,Heavy Forwarder不仅通过原始事件通过网络发送已分析的数据,而且还使用在索引和其他元数据期间突出显示的所有字段。
为了比较重型和通用货代的性能,进行了测试。
该测试文件具有367,463,625个事件。
| 网络流量(GB) | 平均比特率(kbps) | 平均分度速度
(kbps) | 持续时间(秒) |
|---|
| 重型货运代理 | 38.4 | 1922年 | 5139 | 20998 |
| 通用货运代理 | 6.4 | 1015 | 17466 | 6662 |
实验结果
使用通用转发器时:
- 通过网络发送的数据量要低6倍。
- 每秒索引的数据量大约高3倍
- 数据加载的总持续时间快了3倍
推荐建议
仅在以下情况下使用
重型集运器 :
- 通过对非结构化事件进行初步分析,可以过滤掉大部分数据
- 用户界面或附加组件有特殊要求,例如,DBconnect,Checkpoint,Cisco IPS
- 复杂的(按事件内容)数据路由
在其他情况下,最好使用
通用转发器。
如果您还没有尝试过Splunk,那么该开始了,每个人每天最多可以使用500MB的免费版本。 如果您对Splunk存有疑问或问题,可以向
我们询问,我们将为您提供帮助。
我们是
Splunk的正式
会员 。
