splunk无法开启514端口解决

如果用非root账户安装splunk，会出现无法开启小于1024的端口。

 

提升权限太麻烦，变通解决方法（端口映射）：

iptables -t nat -A PREROUTING -p UDP -m udp --dport 514 -j REDIRECT --to-ports 4514  

iptables-save  

iptables-save > /etc/sysconfig/iptables  

 

查看NAT策略：

iptables -t nat -vL

 

附：splunk防火墙日志的分析（地图显示）

将防火墙日志导入splunk

搜索drop信息相关信息：msg=*dropped*

source ip的归属地：相关函数 iplocation （iploc_len,iploc_log)

地理信息统计相关函数：geostats 

host="*.*.*.*" msg=*dropped* | iplocation prefix=iploc_ allfields=true src | fields iploc_* | table iploc_* | geostats latfield=iploc_lat longfield=iploc_lon count by iploc_City

 

本文永久更新地址：http://www.linuxdiyf.com/linux/22295.html