Rola Ansible: splunk-forwarder

Ta rola zainstaluje Splunk universal forwarder.

Wymagania

Ta rola została przetestowana na Ubuntu 22.04 i 20.04, Oracle Linux 8 i 9, AmazonLinux 2023 oraz Debian 12, ale powinna działać na każdym systemie opartym na systemd. Poprzednia wersja tej roli jest dostępna jako tag (v1.0).

Zmienne roli

Domyślne

Dla większości osób domyślne zmienne powinny być wystarczające, ale istnieją przypadki, w których warto je zmienić. Oto one:

 splunk_forwarder_user                                  # Domyślny użytkownik (splunk)
 splunk_forwarder_group                                 # Domyślna grupa (splunk)
 splunk_forwarder_uid                                   # Domyślny UID (10011)
 splunk_forwarder_gid                                   # Domyślny GID (10011)
 splunk_release                                         # Domyślna wersja (7.1.3)
 splunk_url                                             # Domyślny adres URL do pobrania              
 splunk_forwarder_rpm                                   # Domyślna nazwa pakietu Splunk RPM
 splunk_forwarder_deb                                   # Domyślna nazwa pakietu Splunk Deb
 splunk_rpm                                             # Pełny adres URL do RPM
 splunk_deb                                             # Pełny adres URL do Deb
 splunk_deb_checksum                                    # Domyślny sumy kontrolne Deb
 splunk_rpm_checksum                                    # Domyślny sumy kontrolne RPM
 splunk_forwarder_input_blacklist                       # Domyślna czarna lista dla inputs.conf
 splunk_forwarder_manage_inputs                         # Domyślnie zarządza inputs.conf (prawda)
 splunk_forwarder_manage_ouputs                         # Domyślnie zarządza ouputs.conf (prawda)
 splunk_forwarder_install_with_package_manager          # Domyślnie używa menedżera pakietów (fałsz)
 splunk_forwarder_packages                              # Domyślne pakiety menedżera pakietów ([splunkforwarder])
 splunk_forwarder_cpu_shares                            # Domyślne udział CPU dla pliku uruchamiania systemd
 splunk_forwarder_memory_limits                         # Domyślne limity pamięci dla pliku uruchamiania systemd

Zmienne w playbooku

W swoim playbooku powinieneś ustawić następujące zmienne:

splunk_forwarder_admin_user:    # Ustaw użytkownika administracyjnego dla forwardera
splunk_forwarder_admin_pass:    # Ustaw hasło administracyjne dla forwardera
splunk_forwarder_depl_server:   # Ustaw adres URL:Port serwera wdrożeniowego Splunk, np. "splunk-mgt:8089" (opcjonalnie)
splunk_forwarder_indexer:       # Ustaw adres URL:PORT indeksera Splunk, np. "splunk-indexer:9997"
splunk_forwarder_index:         # Ustaw indeks, który powinien być używany przez forwarder, np. "default"
splunk_forwarder_sourcetype:    # Ustaw typ źródła, np. "nginx"

Musisz również ustawić, jakie logi chcesz przesyłać. Możesz to zrobić przy użyciu listy:

splunk_forwarder_logs:
  - /var/log/nginx/access.log
  - /var/log/nginx/error.log

Zależności

Musisz mieć działający indeksator Splunk w swoim środowisku.

Przykład Playbooka

Powinieneś zdefiniować wymagane zmienne w swoim playbooku i wywołać rolę:

- hosts: nginx
  remote_user: ec2-user
  become: True
  vars:
    splunk_forwarder_indexer: "splunk-indexer:9997"
    splunk_forwarder_index: "prodapps"
    splunk_forwarder_sourcetype: "nginx"
    splunk_forwarder_logs:
      - /var/log/nginx/access.log
      - /var/log/nginx/error.log
    roles:
      - splunk-forwarder

Jeśli chcesz uruchomić to na instancjach AmazonLinux, dodaj następujące do swojego playbooka, w przeciwnym razie operacja się nie powiedzie:

 pre_tasks:
   - set_fact: ansible_distribution_major_version=6
     when: ansible_distribution == "Amazon" and ansible_distribution_major_version == "NA"

Licencja

MIT

Informacje o autorze

Mark Honomichl znany jako AustinCloudGuru Stworzone w 2016 roku