本文基于Splunk Forwarder自动收集Windows日志，将日志发送到Splunk做统一收集，并建立简单的图标分析，实时监控Windows系统日志。

Splunk系统安装

Splunk官方提供60天，500M的免费试用期，本文基于官方的免费Docker镜像搭建实验环境，安装过程非常简答，这里不再赘述，可以参考Splunk Docker文档相关内容搭建简单的Splunk环境。

Splunk主界面

安装Splunk Forwarder配置

访问Splunk官网下载Windows版本的Forward，如下图所示：

下载Forwarder

1. 下载完成后双击安装程序开始安装，如下图：

   
   image.png

2. 选择安装目录，然后下一步：

   
   image.png

3. 这一步可以选择Forwarder与Splunk采用加密的通信方式，这里使用默认的秘钥，然后下一步：

   
   image.png

4. 这一步选择让Splunk监控的Event Log类型，还可以选择具体监控某个文件，事实上Splunk在Windows能监控的点远不止这个界面上罗列的内容，这里只是将一些常用的选项列举出来，通过修改Forwarder的配置文件可以监控到更多选项，比如我们配置转发的源端、目的端在$SplunkHome\SplunkUniversalForwarder\etc\system\local，更多监控配置实例在$SplunkHome\SplunkUniversalForwarder\etc\system\README。

   
   image.png

5. Splunk可以对所有的Forwarder做集中管理，试想一下，如果你有上千个日志采集器Forwarder部署，如果每台机器单独运维，那么效率一定不高。这一步配置一个集中管理Forwarder的节点，默认端口是8089，比如我的服务器部署在122.112.204.170，那么具体填写如下：

   
   image.png

6. 下一步配置Forwarder将采集到的日志往哪个IP端口发送，也即日志的目的端：

   
   image.png
7. 接下来点击“Install”完成安装

Splunk配置日志接收

配置好Forwarder日志采集客户端，还需要在Splunk上配置接收端，登录Splunk主界面，点击右上角“设置”菜单->“转发和接收”->“配置接收”

image.png

点击“新增”，设置接收端口为9997（与前面步骤Forwarder发送端口一致），点击“保存”如下图：

image.png

Splunk查看日志

接下来，我们到“Search&Reporting”的搜索界面查询Windows上收集上来的事件日志：

image.png

简单配置一下Dashboard效果如下：

image.png