在判断受监控主机是否成功与 Splunk Indexer 连接成功时,突然发现遗忘了安装时的管理账号密码
  1. 停止运行 SplunkUniversalForwarder
PS C:\Users\ooovi\Desktop\Sysmon> net stop SplunkForwardernet
  1. 找到目录:C:\Program Files\SplunkUniversalForwarder\etc
  2. 删除文件 passwd
也可以通过Powershell进行删除
# 如果存在就删掉;没有也无所谓
if (Test-Path "C:\Program Files\SplunkUniversalForwarder\etc\passwd") {
  Remove-Item "C:\Program Files\SplunkUniversalForwarder\etc\passwd" -Force
}
  1. user-seed.conf 初始化用户

C:\Program Files\SplunkUniversalForwarder\etc\system\local\user-seed.conf 写入以下内容(注意大小写与等号左右无多余空格):

[user_info]
USERNAME = admin
PASSWORD = pwd
这是只在第一次初始化用户时使用的“种子文件”。启动后 UF 会据此生成 etc\passwd,然后 user-seed.conf 就不再需要(可以保留也可以删)。
  1. 重启 SplunkUniversalForwarder
PS C:\Users\ooovi\Desktop\Sysmon> net start SplunkForwarder
  1. 测试连接
PS C:\Users\ooovi\Desktop\Sysmon> & "C:\Program Files\SplunkUniversalForwarder\bin\splunk.exe" list forward-server -auth admin:pwd

Active forwards:
        10.10.20.100:9997
Configured but inactive forwards:
        None