作为常年折腾Splunk和小型网络监控的人，我来给你几个实用的方案，完全贴合你“只有路由器、只需要原始日志”的场景：

方案1：利用路由器本身的Syslog输出 #

这是最直接的低成本方式，大部分小型企业/家用路由器都支持：

• 先登录路由器管理后台，找到「系统日志」「日志设置」这类选项，开启Syslog服务。
• 设置Syslog服务器地址为你的Splunk服务器（或者安装了Splunk Universal Forwarder的机器），端口默认用UDP 514（部分路由器支持TCP，传输更可靠）。
• 路由器会自动把它能捕获到的流量相关日志（比如设备上下线记录、流量统计条目、端口访问记录等）发送到Splunk，这些都是纯原始日志，Splunk可以直接接收并索引。
• 补充：如果是特别低端的路由器，可能只有系统状态类日志，没有详细流量记录，这时候可以看看是否支持导出CSV格式的流量统计文件，再用Splunk的文件监控功能定期导入。

方案2：旁路抓包获取全量原始流量 #

如果路由器日志不够详细，旁路抓包能拿到最完整的WAN流量数据：

• 先检查路由器是否支持端口镜像：在路由器端口设置里，把所有LAN/WAN端口的流量镜像到一个空闲端口，然后把一台电脑（推荐用Linux，稳定性更高）的网卡接到这个镜像端口。
• 在抓包电脑上开启网卡混杂模式：
  • Linux下执行命令：ip link set eth0 promisc on（把eth0换成你的网卡名称）
• 用抓包工具持续捕获流量并保存：
  • Linux用tcpdump：tcpdump -i eth0 -w /var/log/network_traffic.pcap -G 3600 -W 24，这个命令会每小时生成一个PCAP文件，最多保留24个，避免磁盘被占满。
  • Windows用Wireshark：设置自动保存捕获文件，按时间分割存储。
• 让Splunk监控这个PCAP文件所在的目录，Splunk原生支持解析PCAP文件，会把原始流量包转换成包含源IP、目的IP、端口、流量大小等字段的可索引日志。
• 替代方案：如果路由器没有端口镜像功能，可以把抓包电脑放在路由器和外网之间，配置双网卡桥接，让所有流量都经过它，这种方式需要调整网络拓扑，但能捕获全量WAN流量。

方案3：用轻量开源工具生成标准化流量日志 #

如果抓包操作太繁琐，用轻量工具生成结构化的原始日志也很省心：

• 比如ntopng：这是个开源的轻量网络监控工具，安装后可以实时监控网卡流量，生成包含主机IP、应用协议、上传下载量等信息的日志，支持输出到Syslog或者本地文件，直接给Splunk读取。
• 或者iftop：Linux下的命令行工具，执行iftop -t -s 60 -L 200 > /var/log/iftop_traffic.log，可以每分钟输出200条流量记录到日志文件，Splunk可以实时监控这个文件的新增内容。

一些实用提醒 #

• 确保Splunk服务器/Forwarder和采集设备在同一网络，相关端口（比如UDP 514、文件共享端口）没有被防火墙拦截。
• 全量流量日志会占用大量磁盘空间，建议在Splunk里设置索引的保留时间（比如保留7天），或者在采集端过滤掉不需要的流量（比如内部IP之间的通信，如果你只关心WAN流量的话）。
• 解析PCAP文件时，如果需要更详细的协议分析，可以安装Splunk的「Packet Analysis」应用，但基础的流量字段解析不需要额外插件。

内容的提问来源于stack exchange，提问作者Rahuk splunkie