# forwarder

watervottle

분산환경 설정 indexer to header 서버 구성 상세 header 1대 indexer 2대 + cluster master 1대 forwarder 2대 forwarder to indexer (or standalone)은 과거에 했기 때문에 넘어가자 universal forwarder는 전용 프로그램이 있기에 스플렁크 홈페이지에서 받아왔으나 indexer나 header는 splunk enterprise를 사용하기 때문에 과거에 받았던 걸 그대로 사용하자 하던대로 splunk enterprise tar 파일을 다운받아 /opt에 압축을 풀어주고 스플렁크를 실행한다(라이선스 허용하고, 사용자 등록 등등). 순서 cluster master 클러스터 전용 서버에서 web으로 접속한다. 설정 - 인덱서 클러스터링 ![](https://velog.velcdn.com/images/watervottle/post/75038db2-67

watervottle

구성 splunk enterprise(se) ip: 192.168.237.130 splunk forwarder ip: 192.168.237.131 상황 forwarder의 리눅스 서버의 데이터(로그파일)를 se 서버로 보내야 함. 과정 se를 실행시키고 web접속 forwarder 서버 위주로 명령 입력 port 8089 = management port 9997 = data 설정 → 데이터 전달 및 수신 se 서버와 forwarder 서버의 방화벽을 둘 다 풀어준다. (예시에서는 배포서버에서만 풀었는데 검색용 서버의 방화벽을 풀지 않으면 스플렁크 web 서버에 접속할 수 없음) ![](https://velog.velcdn.com/images/watervottle/p