Descargar la última versión de Splunk Forwarder desde http://www.splunk.com/download/universalforwarder e instalarla

[root]# rpm -Uvh splunkforwarder-6.0.1-xxxx.rpm

Si es necesario:

[root]# /opt/splunkforwarder/bin/splunk start –accept-license

Cambiar password para la cuenta de administrador:

[root]# /opt/splunkforwarder/bin/splunk edit user admin -password NEWPASS -auth
Splunk username: admin
Password: “insertar el password por defecto: changeme”
User admin edited.

Añadir forward server:

[root]# /opt/splunkforwarder/bin/splunk add forward-server 10.0.0.10:9997
Added forwarding to: 10.0.0.10:9997.

Listar los forward server:

[root]# /opt/splunkforwarder/bin/splunk list forward-server
Active forwards:
192.168.25.43:9997
Configured but inactive forwards:
None

Añadimos los archivos de log a monitorizar:

[root]# /opt/splunkforwarder/bin/splunk add monitor /var/log/
Added monitor of ‘/var/log’.

Habilitamos el script de arranque:

[root]# /opt/splunkforwarder/bin/splunk enable boot-start

Habilitamos el inicio automático al arranque:

[root]# chkconfig splunk on

La ruta para editar el script con la configuración de los monitors:

/opt/splunkforwarder/etc/apps/search/local/inputs.conf