false
Splunk Blogs
Splunk Blogs
Splunk Blogs
Learn
21. November 2024
 | 
8 Minuten Lesedauer

Splunk Universal Forwarder

Von Chrissy Kidd

Haben Splunk® Universal Forwarder euer Interesse geweckt? Dieser Artikel gibt einen Überblick darüber, worum es sich dabei handelt, warum die Verwendung sinnvoll ist und wie Universal Forwarder funktionieren. Vor allem informieren wir euch hier über die besten Tipps, Tricks und Ressourcen für die Nutzung von Universal Forwardern (und anderen Möglichkeiten), um Splunk mit Daten zu füttern.

Universal Forwarder jetzt herunterladen (KOSTENLOS)

Quick-Links

Lest weiter, um umfassende Informationen und Erklärungen zu Universal Forwardern zu erhalten. Einige Fachbegriffe in diesem Tutorial sind euch vielleicht nicht bekannt. Definitionen und Erläuterungen findet ihr im  Splexicon, dem Splunk-Glossar.

Splunk Cloud Platform und Splunk Enterprise mit Daten füttern

Die Geschichte der Universal Forwarder beginnt mit einem einfachen Ansinnen: Splunk mit Daten füttern. Ihr fragt euch, welche Art von Daten ihr in Splunk indizieren könnt? Kurz und bündig: jede Art von Daten.

Genauer gesagt kann die Splunk-Plattform, ob Splunk Cloud Platform oder  Splunk Enterprise als On-Premise- oder Cloud-Bereitstellung alle IT-Daten indizieren und überwachen, einschließlich Streaming-, Maschinen- und historischer Daten. Hier einige Beispiele für solche Daten:

  • Microsoft Windows-Ereignisprotokolle
  • Webserverlogs
  • Live-Anwendungslogs
  • Netzwerk-Feeds
  • Änderungslogs
  • Nachrichtenwarteschlangen
  • Archivdateien

Splunk kann also all eure Daten verarbeiten – aber wie könnt ihr sie in Splunk einspeisen? Hier kommen Forwarder ins Spiel. Tatsächlich gibt es vier Möglichkeiten, Daten hinzuzufügen. Die gängigste Lösung ist der Universal Forwarder.

Forwarder-Typen in Splunk

Ein Forwarder ist eine Splunk Enterprise-Instanz, die Daten an eine andere Splunk Enterprise-Instanz weiterleitet, zum Beispiel an:

  • einen Indexer
  • einen anderen Forwarder
  • ein Drittanbietersystem (nur Heavy Forwarder)

Splunk Enterprise verfügt über drei Typen von Forwardern:

  • Ein Universal Forwarder enthält nur die Komponenten, die zum Weiterleiten der Daten erforderlich sind – nicht mehr und nicht weniger. Im Allgemeinen ist dieses Tool am besten geeignet, um Daten an Indexer zu senden.
  • Ein Heavy Forwarder ist eine vollständige Splunk Enterprise-Instanz , die Daten indizieren, durchsuchen, ändern und weiterleiten kann. Bestimmte Funktionen einer vollständigen Splunk Enterprise-Instanz sind deaktiviert, um Systemressourcen zu sparen.
  • Ein Light Forwarder ist ebenfalls eine vollständige Splunk Enterprise-Instanz, bei der noch mehr Funktionen deaktiviert sind, um den Ressourcen-Fußabdruck so klein wie möglich zu halten. Der Light Forwarder wird ab Version 6.0 von Splunk Enterprise als veraltet eingestuft und ist für fast alle Zwecke durch den Universal Forwarder ersetzt worden.

Wenden wir uns nun dem Universal Forwarder zu, der die wichtigste Methode zum Senden eurer Daten an die gewünschte Splunk Cloud Platform- oder Splunk Enterprise-Instanz bietet.

Funktionsweise eines Universal Forwarders

Ein Universal Forwarder erfasst Daten aus unterschiedlichen Speicherorten – das können Datenquellen oder andere Forwarder sein – und sendet sie an einen Forwarder oder eine Splunk-Bereitstellung. Schauen wir uns an, was ihr mit einem Universal Forwarder tun könnt. Zu den Funktionen gehören:

  • Metadaten-Tagging (Quelle, Sourcetyp und Host)
  • Konfiguration der Pufferung
  • Datenkomprimierung
  • Absicherung über SSL
  • Verwendung aller verfügbaren Netzwerkports

Die aktuelle Version von Splunk Universal Forwarder kann, genau wie die Vorgängerversionen, kostenlos heruntergeladen werden.


(Die am häufigsten verwendete Konfiguration für den Universal Forwarder)

Wann kommt ein Universal Forwarder zum Einsatz?

Der Universal Forwarder ist die beste Option, wenn Daten an Indexer weitergeleitet werden sollen. Unser Splexicon bietet dazu folgende Definition:

Der Universal Forwarder ist eine dedizierte, verschlankte Version von Splunk Enterprise, die nur die für das Weiterleiten von Daten wesentlichen Komponenten enthält. Der Universal Forwarder bietet keine Unterstützung für Python und keine Benutzeroberfläche.

In den meisten Fällen stellt der Universal Forwarder die beste Möglichkeit dar, Daten an Indexer weiterzuleiten.

Vorteile

Die wichtigsten Vorteile von Universal Forwardern sind Zuverlässigkeit, Sicherheit und eine umfassende Plattformunterstützung. Ihr könnt Splunk Universal Forwarder problemlos auf einer Vielzahl unterschiedlicher Computing-Plattformen und -Architekturen installieren.

Der vielleicht größte Vorteil ist die Skalierbarkeit unserer Universal Forwarder. Da sie wesentlich weniger Hardware-Ressourcen erfordern als andere Splunk-Produkte, könnt ihr buchstäblich Tausende von ihnen installieren, ohne Einbußen bei der Netzwerk- und Host-Performance oder Kosten befürchten zu müssen. Der geringe Ressourcenverbrauch des Forwarders ist unter anderem darauf zurückzuführen, dass er keine Benutzeroberfläche hat.

Tatsächlich lassen sich Universal Forwarder auf zehntausende Remote-Systeme skalieren. So können völlig mühelos mehrere Terabyte an Daten erfasst werden.

Nachteile

Der Universal Forwarder hat eine wesentliche Einschränkung: Er leitet nur ungeparste Daten weiter. Wenn ihr also Event-basierte Daten an Indexer senden wollt, müsst ihr einen Heavy Forwarder verwenden.

Installation von Universal Forwardern

Anweisungen für die Installation in unterschiedlichen Umgebungen findet ihr hier:

Alle technischen Details zur Bereitstellung, Installation, Konfiguration, Weiterleitung sowie zum Troubleshooting findet ihr im Handbuch zum Splunk Universal Forwarder. Ihr könnt euch auch die Dokumentation zu allen Vorgängerversionen anschauen. Dazu öffnet ihr einfach das Dropdown-Menü in der rechten oberen Ecke:

In diesem hervorragenden Tech Talk zeigt Gregg Daly, Technical Marketing Manager bei Splunk, wie Daten von einem beliebigen Linux- oder Windows-Host übertragen werden, und gibt viele weitere wertvolle Tipps:

Betrachten wir nun Universal Forwarder in zwei Hauptprodukten, nämlich Splunk Cloud Platform und Splunk Enterprise.

Forwarder in Splunk Cloud Platform

Bei vielen Use Cases stammen eine ganze Reihe von Daten direkt aus Dateien und Verzeichnissen. Für das Monitoring und Senden dieser Daten an Splunk Cloud Platform werden am besten Universal Forwarder und Heavy Forwarder eingesetzt. Dabei hat sich folgende Vorgehensweise bewährt:

  1. Ihr solltet Universal Forwarder auf jedem Computer installieren, auf dem ihr Dateien und Verzeichnisse überwachen müsst.
  2. Dann sendet ihr diese Daten an einen Heavy Forwarder, der sie an Splunk weiterleitet.

Hier erfahrt ihr mehr über das Abrufen von Daten aus Dateien und Verzeichnissen und über andere Methoden zum Hinzufügen von Daten, unter anderem aus Netzwerkereignissen, Windows-Quellen, Metriken und HTTP Event Collector.

Forwarder in Splunk Enterprise

Mit Splunk Enterprise habt ihr eine lokale Bereitstellung und könnt eure Daten entweder direkt in die Instanz überführen oder euch für Universal Forwarder und Heavy Forwarder entscheiden. Generell lassen sich Eingaben in Splunk Enterprise folgendermaßen kategorisieren:

  • Dateien und Verzeichnisse
  • Netzwerkereignisse
  • Windows-Daten
  • Andere Quellen

Mehr über das Einspeisen von Daten in Splunk Enterprise erfahrt ihr auf Splunk Lantern. Alternativ könnt ihr auch am kostenlosen eLearning-Kurs Getting Data into Splunk teilnehmen.

Universal Forwarder jetzt herunterladen (KOSTENLOS)

Splunk Universal Forwarder – Ressourcen

Das sind aber noch nicht alle großartigen Ressourcen für den Einsatz von Universal Forwardern. Hier sind weitere Splunk-Anlaufstellen, die hilfreich sein können:

  • Splunk Lantern: Hier könnt ihr euch selbst Informationen zu geschäftlichen Use Cases mit Splunk-Produkten zusammensuchen.
  • Splunk Docs: Hier findet ihr alle technischen Spezifikationen zu unseren Produkten.
  • Splunk Training & Certification: Hier könnt ihr an unterschiedlichen Kursen teilnehmen oder Lernpfaden folgen, um Splunk-Fachwissen zu erlangen.
  • Splunk Community: Hier könnt ihr Fragen stellen und Antworten bekommen.
 

Ihr habt einen Fehler entdeckt oder habt einen Verbesserungsvorschlag? Bitte teile uns dies per E-Mail an ssg-blogs@splunk.com mit.

Dieser Artikel spiegelt nicht zwingend die Position, Strategien oder Meinungen von Splunk wider, und mögliche Rückfragen hierzu können in der Regel nicht beantwortet werden.
Chrissy Kidd Picture
Chrissy Kidd

Chrissy Kidd is a technology writer, editor, and speaker based in Baltimore. The managing editor for Splunk Learn, Chrissy has covered a variety of tech topics, including ITSM & ITOps, software development, sustainable technology, and cybersecurity. Previous work includes BMC Software, Johns Hopkins Bloomberg School of Public Health, and several start-ups. She's particularly interested in how tech intersects with our daily lives. 

Ähnliche Artikel

Learn 8 Minuten Lesedauer

Splunk Universal Forwarder
In diesem Blogbeitrag erfahrt ihr mehr über Splunk Universal Forwarder: Was ist das überhaupt, warum werden sie verwendet, wie funktionieren sie und mit welchen Ressourcen gelingt der Einstieg?
Learn 11 Minuten Lesedauer

Gängige DevOps-Rollen und -Verantwortlichkeiten
Hier bekommt ihr einen Überblick über die Kernprinzipien von DevOps – Zusammenarbeit, Automatisierung, Transparenz und Verantwortlichkeit – um zu verstehen, wie DevOps euch zu mehr Business Value verhilft.
Learn 14 Minuten Lesedauer

Cyber-Resilienz erklärt: Strategien, Definitionen & mehr
Cyber-Resilienz ist wie der Umhang eines Superhelden: Sie macht euch zwar nicht unbesiegbar, aber doch stärker gegen die bösen Jungs. Hier erfahrt ihr alle Einzelheiten – auch ohne Umhang.

Über Splunk

Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.

Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.
Wiedergabe Light
Erfahren Sie mehr über Splunk
UNTERNEHMEN
UNTERNEHMEN
PRODUKTE
PRODUKTE
SITES
SITES
KONTAKT
KONTAKT
SPLUNK-MOBILE-APPS
SPLUNK-MOBILE-APPS

© 2005 - 2024 Splunk LLC All rights reserved.

Rechtliche Hinweise
Patente
Datenschutz
Sitemap
Nutzungsbedingungen
 
 

© 2005 - 2024 Splunk LLC All rights reserved.