austincloudguru.splunk_forwarder
Rôle Ansible : splunk-forwarder
Ce rôle déploie le forwarder universel de Splunk.
Exigences
Ce rôle a été testé sur Ubuntu 22.04 et 20.04, Oracle Linux 8 et 9, AmazonLinux 2023, et Debian 12, mais devrait probablement fonctionner sur tout système basé sur systemd. La version précédente de ce rôle est disponible sous forme de balise (v1.0).
Variables du rôle
Par défaut
Pour la plupart des utilisateurs, les variables par défaut devraient convenir, mais il peut y avoir des cas d'utilisation pour les modifier. Elles sont :
splunk_forwarder_user # Utilisateur par défaut (splunk)
splunk_forwarder_group # Groupe par défaut (splunk)
splunk_forwarder_uid # UID par défaut (10011)
splunk_forwarder_gid # GID par défaut (10011)
splunk_release # Version de publication par défaut (7.1.3)
splunk_url # URL de téléchargement par défaut
splunk_forwarder_rpm # Nom du RPM de Splunk par défaut
splunk_forwarder_deb # Nom du Deb de Splunk par défaut
splunk_rpm # URL complète du RPM par défaut
splunk_deb # URL complète du Deb par défaut
splunk_deb_checksum # Checksum du Deb par défaut
splunk_rpm_checksum # Checksum du RPM par défaut
splunk_forwarder_input_blacklist # Liste noire par défaut pour inputs.conf
splunk_forwarder_manage_inputs # Par défaut, gérer inputs.conf (true)
splunk_forwarder_manage_ouputs # Par défaut, gérer ouputs.conf (true)
splunk_forwarder_install_with_package_manager # Par défaut, utiliser un gestionnaire de paquets (false)
splunk_forwarder_packages # Paquets par défaut du gestionnaire de paquets ([splunkforwarder])
splunk_forwarder_cpu_shares # CPUShares par défaut pour le fichier de démarrage systemd
splunk_forwarder_memory_limits # Limites de mémoire par défaut pour le fichier de démarrage systemd
Variables de Playbook
Dans votre playbook, vous devez définir les variables suivantes :
splunk_forwarder_admin_user: # Définir l'utilisateur administratif pour le forwarder
splunk_forwarder_admin_pass: # Définir le mot de passe administratif pour le forwarder
splunk_forwarder_depl_server: # Définir l'URL:Port de votre serveur de déploiement Splunk par exemple "splunk-mgt:8089" (optionnel)
splunk_forwarder_indexer: # Définir l'URL:PORT de votre indexeur Splunk par exemple "splunk-indexer:9997"
splunk_forwarder_index: # Définir l'index que le forwarder doit utiliser par exemple "default"
splunk_forwarder_sourcetype: # Définir le type source par exemple "nginx"
Vous devez également définir quels journaux transmettre. Vous pouvez le faire en utilisant une liste :
splunk_forwarder_logs:
- /var/log/nginx/access.log
- /var/log/nginx/error.log
Dépendances
Vous devez avoir un indexeur Splunk en fonctionnement dans votre environnement.
Exemple de Playbook
Vous devez définir les variables requises dans votre playbook et appeler le rôle :
- hosts: nginx
remote_user: ec2-user
become: True
vars:
splunk_forwarder_indexer: "splunk-indexer:9997"
splunk_forwarder_index: "prodapps"
splunk_forwarder_sourcetype: "nginx"
splunk_forwarder_logs:
- /var/log/nginx/access.log
- /var/log/nginx/error.log
roles:
- splunk-forwarder
Si vous souhaitez exécuter cela sur des instances AmazonLinux, ajoutez ce qui suit à votre playbook, sinon il échouera :
pre_tasks:
- set_fact: ansible_distribution_major_version=6
when: ansible_distribution == "Amazon" and ansible_distribution_major_version == "NA"
Licence
MIT
Informations sur l'auteur
Mark Honomichl, alias AustinCloudGuru Créé en 2016
ansible-galaxy install austincloudguru.splunk_forwarder