Splunk Enterprise 可以监控和分析任何来源的机器数据，提供操作智能，从而优化您的IT运维、企业安全和业务绩效。Splunk Enterprise拥有直观的分析功能、机器学习、打包应用程序和开放式 API，是一个灵活的平台，可从重点用例分析扩展成整个企业范围的分析主干。

Splunk Enterprise v9.4.1版本：

Splunk Enterprise v9.4.1 windows/Linux/macOS安装教程+ 安装包下载

Splunk Enterprise v8.2.4版本：

Splunk Enterprise v8.2.4 windows/Linux 安装教程+ 安装包下载

Splunk Enterprise v7.2.6版本：

Splunk Enterprise 7.2.6+许可证

Splunk Enterprise 10 新功能

✅ Edge Processor 服务

Edge Processor 解决方案是托管在您的 Splunk Enterprise 部署中的一项服务，旨在帮助您管理网络边界内的数据摄取。使用 Edge Processor 解决方案可以在数据源附近对数据进行过滤、掩码和转换，然后将处理后的数据路由到外部环境。

✅ 联邦信息处理标准 (FIPS) 支持更新

Splunk Enterprise 现已更新支持 FIPS 140-2 模块，并新增对 FIPS 140-3 模块的支持。这些模块使您能够以 FIPS 模式运行 Splunk Enterprise，从而符合相关指南。随 Splunk Enterprise 10.0 附带的 FIPS 140-2 模块有效期至 2026 年 3 月，升级到 10 版后，您有时间迁移至新的 FIPS 140-3 模块。

✅ 支持基于相互传输层安全（mTLS）的加密

Splunk Enterprise 现支持配置 mTLS，用于加密 Splunk Enterprise 实例和服务之间的网络连接。

✅ 支持 OpenSSL 3.0 版本

Splunk Enterprise 10.0 支持 OpenSSL 3.0，替代已弃用的 OpenSSL 1.0.2 版本。此外，软件绑定 Python 3.9 运行环境，用于安全连接服务和 API。

✅ 对搜索知识对象的细粒度访问控制

Splunk 管理员现在拥有更灵活的权限分配选项，可以为角色分配访问知识对象的权限。新增三种能力取代了之前唯一的 admin_all_objects 能力，赋予管理员更高的灵活性。

✅ Sidecars（旁车进程）

Sidecars 是伴随 splunkd 进程运行、完成特定功能的进程。它们支持在 Splunk 平台中引入新功能，例如部分 sidecar 支持本地环境的增强数据管理。Sidecars 会在您的 Splunk Enterprise 环境中引入多个旁车进程，且其进程名不包含 splunk 前缀。

✅ 仪表板可信域列表

管理员可以通过“仪表板可信域列表”页面添加或删除域。访问路径为：Splunk 顶部导航栏选择 Settings > Server settings > Dashboards Trusted Domains List。

✅ 审计跟踪应用中的仪表板

使用审计跟踪（Audit Trail）应用，您可以快速了解 Splunk 平台实例的安全性、合规性和运行情况。仪表板基于审计索引（index=_audit）实时监控用户活动及知识对象的变更。若需排查或调查活动，可通过审计日志获取详细信息。建议从审计跟踪仪表板开始审计 Splunk 平台活动。

✅ 标准模式联邦搜索中支持 savedsearch 命令

现可使用 savedsearch 命令在标准模式联邦提供者上针对远程已保存搜索数据集执行联邦搜索。还支持使用 savedsearch 的字符串替换语法替换远程已保存搜索中的特定字符串（如 $replace_me$）。

✅ 扩展标准模式联邦搜索的 SPL 支持

标准模式联邦搜索新增对以下命令的支持：mcollect、sendalert、sendemail。这些命令现在可以在联邦搜索头节点本地运行。

✅ 电子邮件域设置增强

Splunk Web 下的“服务器设置”中新增电子邮件域配置选项，管理员可以指定允许或拒绝所有电子邮件域，或使用逗号分隔的电子邮件域列表。该设置限制警报邮件发送的目标域，防止用户将搜索结果通过邮件发送至不安全的域。

✅ 邮件服务器身份验证支持 OAuth 2.0

Splunk Enterprise 现支持 SMTP 服务器的 OAuth 2.0 身份验证，本次发布增加对 Microsoft Exchange Server 的支持。对于 Gmail SMTP 服务器，可使用 Google 应用密码替代账户密码进行简单身份验证（用户名/密码）。

✅ Splunk Enterprise 采用 Python 3.9

Splunk Enterprise 10.0 及更高版本已移除 Python 3.7，仅支持 Python 3.9 解释器。请确保所有应用和插件均更新至兼容 Python 3.9 的版本，否则可能导致应用无法正常运行。

✅ Dashboard Studio 功能增强

详见 “Dashboard Studio 新功能”：https://help.splunk.com/en/?resourceId=Splunk_DashStudio_WhatNew。

✅ 预览功能：字段过滤器现支持 typeahead 和 walklex 命令

之前版本中，字段过滤器默认禁用 typeahead 和 walklex 命令，因为它们是受限命令。从本版本开始，这些命令不再受限。
注意：是否在组织中部署字段过滤器需谨慎。字段过滤器适合保护敏感字段，但若组织使用 Splunk Enterprise Security 或频繁依赖被字段过滤器默认限制的命令（如 mpreview、mstats、tstats），建议在充分规划绕过方案后再生产环境使用。

✅ 预览功能：字段过滤器成为搜索时序列中首个操作

字段过滤器已从原先的第四位移动至搜索时的第一位操作，这会影响后续操作。因为字段过滤器先于其他操作处理，被过滤的字段可能导致依赖其值的后续操作失败。

✅ 定时搜索动态限制

Splunk Enterprise 10.0 引入 dynamic_max_searches_perc 设置，允许搜索调度器基于即时和定时搜索负载自动调整定时搜索并发限制 (max_searches_perc)，减少搜索延迟和跳过搜索，提升资源利用效率。

✅ 有效配置查看功能

该功能允许您查看转发器上实际生效的配置，无需登录机器或使用 btool，避免依赖其他团队获取配置细节。您可以查看所有 .conf 文件的参数更改，下载实际配置文件进行编辑和分析。

✅ 批量数据迁移

批量数据迁移功能允许用户根据搜索条件高效地重组索引间的数据，精准回收存储并管理敏感信息，避免完全删除索引带来的不便。该功能仅适用于独立部署（单实例）。

✅ OpenTelemetry 采集器管理

该功能帮助您集中查看管理的 OTel 采集器信息，监控代理状态。您可以在表格视图中看到注册的 OTel 采集器列表，并选择具体代理查看关键属性。此为只读功能，提升对数据采集组件运行状况的可见性。

✅ Dashboard Studio 中的可观测性指标

您可以在 Dashboard Studio 创建基于可观测性指标的图表，或导入已有的 Splunk Observability Cloud 图表。支持按维度过滤指标，实现更细粒度的数据观察。

✅ Search 应用中预览可观测性数据

在新的“相关内容”面板中，您可以预览与当前搜索事件相关的 Splunk Observability Cloud 数据和上下文，方便调查。

✅ Dashboard Studio 仪表板中查看可观测性服务拓扑图

您可以将 Splunk Observability Cloud 监控的服务拓扑图添加至 Dashboard Studio 仪表板，直观展示 APM 中的服务依赖与连接，便于同时识别性能瓶颈和错误传播。

✅ SPL2 模块权限管理

创建模块时，您将自动获得该模块的 execute、read 和 write 权限。此前只有 admin 和 power 角色用户能拥有这些权限。模块所有者权限不可被撤销，您可以通过 REST API 端点授予或撤销所创建模块的权限。

✅ Search API 1.0 版本端点默认停用

部分 Search API 1.0 版本端点已被弃用并停用，未来版本将彻底移除。客户和开发者应升级至 Search API 2.0 版本，后者采用语义版本化的 REST API 端点，提升平台契约和更新兼容性。若业务关键应用仍需使用旧端点，可临时开启作为过渡方案。

✅ Upgrade Readiness 应用退役

Splunk 正式结束对 Upgrade Readiness 应用的支持，该应用将不再更新，并已从本版本 Splunk Enterprise 中移除。

✅ 更新的警报页面

警报页面在易用性和无障碍性方面进行了改进。注意：若自定义警报操作中包含 HTML，请确保 HTML 不含不支持或格式错误的元素。请更新 HTML 以符合 Splunk Web 支持的自定义元素。

✅ 收藏的知识对象

用户现在可以添加或移除报告收藏。收藏功能使得发现和访问知识对象（如报告）更加便捷快速。

Splunk Enterprise 功能特点

• 监控和警报——持续监控事件，条件和关键KPI有助于确保您的运营顺利进行。 通过我们的预定搜索，您可以创建实时仪表板和可视化，让您的团队和管理层了解情况。 您可以在我们的Splunkbase应用商店中找到更多用于监控常见IT，安全和应用程序环境的开箱即用仪表板。警报可以在实时发生重要事件和即将发生的情况之前发出信号。 Splunk的自定义警报措施功能可以在触发警报时自动启动后续操作（思考：发送电子邮件和执行补救脚本）。 这些自定义警报可以根据各种条件设置为不同的粒度（想想：数据阈值和行为模式识别，如废弃的购物车，暴力攻击或欺诈场景）。
• 仪表板和可视化——仪表板集成了图表，视图，报告和可重复使用的面板，以显示全面的数据故事。 构建和个性化仪表板，以显示不同受众的最相关信息。 管理，业务和安全分析师，审计员，开发人员和运营团队可以以不同的方式显示相同的数据，以最好地帮助他们采取行动。 您可以使用Splunk移动应用程序随时随地访问仪表板和报告。从各种图表和其他可视化中进行选择，以讲述引人注目且可操作的数据故事。 直观的图表和交互式可视化功能可以识别复杂的数据，让您发现问题，机会和潜在问题。
• 度量——度量标准是随时间捕获的数字数据点，可以比日志更有效地压缩，存储，处理和检索。 它们本身支持作为适合规模和性能的一流数据。 使用度量标准数据可以比以前的版本（7.0版之前）提高速度至少20倍。
• 机器学习工具包（MLTK）——使用内置的Splunk分析或您自己的自定义机器学习模型来解决贵公司的影响问题。 使用Splunk机器学习工具包的指导经验轻松构建自定义模型。 它包括一个API，基于角色的机器学习模型访问控制和开箱即用的算法，可以应用于各种用例 – 更不用说来自流行的开源Python库的机器学习算法。
• 报告——报告可以实时创建，也可以安排在任何时间间隔运行，用于仪表板。 此外，它们可以以安全的只读格式保存和共享，例如PDF报告。 数据也可以通过ODBC共享。
• 存储——使用Splunk Enterprise，您可以根据需要归档数据和分层存储 – 包括将冷却或未使用的数据滚动到Hadoop。 Splunk架构支持多站点群集，高可用性和灾难恢复配置，以确保持续可用性。
• 缩放——Splunk Enterprise基于分布式架构，可跨商用服务器横向扩展，以支持无限的用户和数据量。 它还可以垂直扩展，增加搜索和索引速度以及利用可用CPU功率的容量。Splunk Enterprise的Splunk监控控制台为内部部署的所有组件提供了完整的系统和功能监控界面，包括拓扑视图，系统状态和运行状况警报。 控制台创建单个界面以查看这些组件的状态，性能，容量和互连性，从而使管理员能够优化解决方案操作和效率。
• 认证——如果您使用数据，您可能有一个控制它的首字母缩略词。 无论是GDPR，PCI DSS，HIPAA还是SOC 3，Splunk都旨在报告合规性，并通过行业机构认证，以确保您的数据安全。
• 获取数据——通过各种标准和自定义输入方法，Splunk软件可以摄取各种数据类型。 基于文件的数据可以通过直接驻留在数据源上的转发器发送，而DevOps，IoT和来自其他不同来源的数据可以使用Event Collector API或TCP / UDP端口直接获取。 也可以使用模块化输入和其他方法从基于API的源中提取数据。 此外，可以使用Splunkbase上提供的数百个免费应用程序和附加程序直接加入和分析常见的IT，安全和应用程序数据源。

Splunk Enterprise v10.0.2 win安装教程

• Linux安装参照：Splunk Enterprise v8.2.4 for Linux 安装方法

1，运行setup.msi

2、设置安装路径

3、选择 local system

4、设置用户名和密码

5、安装

6、打开tercel，运行dvt-splunk_licsrv.1.0.amd64

7、运行软件，输入之前设置的账号密码登录

8、点击设置——授权

9、点击更改为对等节点

10、点击 “指定其他 Splunk 实例作为管理器许可证服务器” ，设置为：http://127.0.0.1:1337

11、安装成功

如果提示试用许可证，可按照以下操作

系统要求

相关文件下载

Splunk Enterprise v10.0.1 (Windows) 下载

Splunk Enterprise v10.0.2 For Win 下载