Kuinka asentaa Splunk Log Analyzer CentOS 7:ään

Splunk on tehokas, vankka ja täysin integroitu ohjelmisto reaaliaikaiseen yrityslokien hallintaan. Sen avulla voidaan kerätä, tallentaa, etsiä, diagnosoida ja raportoida kaikki lokit ja koneella luodut tiedot, mukaan lukien jäsennellyt, jäsentelemättömät ja monimutkaiset tiedot. moniriviset sovelluslokit.

Sen avulla voit kerätä, tallentaa, indeksoida, etsiä, korreloida, visualisoida, analysoida ja raportoida mitä tahansa lokidataa tai koneella luotua dataa nopeasti ja toistettavalla tavalla tunnistaaksesi ja ratkaistaksesi toiminta- ja turvallisuusongelmia.

Lisäksi splunk tukee monenlaisia lokinhallinnan käyttötapauksia, kuten lokien yhdistämistä ja säilyttämistä, turvallisuutta, IT-toimintojen vianmääritystä, sovellusten vianmääritystä sekä vaatimustenmukaisuusraportointia ja paljon muuta.

Splunk-ominaisuudet:

  • Se on helposti skaalautuva ja täysin integroitu.
  • Tukee sekä paikallisia että etätietolähteitä.
  • Mahdollistaa konetietojen indeksoinnin.
  • Tukee tietojen etsimistä ja korreloimista.
  • Mahdollistaa tietojen poraamisen alas ja ylös ja nivellemisen.
  • Tukee seurantaa ja hälytyksiä.
  • Tukee myös raportteja ja hallintapaneeleja visualisointia varten.
  • Tarjoaa joustavan pääsyn relaatiotietokantoihin, kenttäeroteltuihin tietoihin pilkuilla erotetuissa tiedostoissa (.CSV) tai muihin yritystietovarastoihin, kuten Hadoop tai NoSQL.
  • Tukee monenlaisia lokinhallinnan käyttötapauksia ja paljon muuta.

Tässä artikkelissa näytämme, kuinka asennat Splunk-lokianalysaattorin uusimman version ja kuinka lisäät lokitiedoston (tietolähteen) ja etsimme sen kautta tapahtumia CentOS 7:ssä. > (toimii myös RHEL-jakelussa).

Suositellut järjestelmävaatimukset:

  1. CentOS 7 -palvelin tai RHEL 7 -palvelin minimaalisella asennuksella.
  2. Vähintään 12GB RAM

Testiympäristössä:

  1. Linode VPS CentOS 7 -minimiasennuksella.

Asenna Splunk Log Analyzer seurataksesi CentOS 7 -lokeja

1. Siirry splunk-verkkosivustolle, luo tili ja hanki järjestelmällesi uusin saatavilla oleva versio Splunk Enterprise -lataussivulta. RPM-paketit ovat saatavilla Red Hatille, CentOS:lle ja vastaaville Linux-versioille.

Vaihtoehtoisesti voit ladata sen suoraan verkkoselaimen kautta tai hankkia latauslinkin ja käyttää wget commandv -ohjelmaa nappataksesi paketin komentorivin kautta kuvan osoittamalla tavalla.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Kun olet ladannut paketin, asenna Splunk Enterprise RPM oletushakemistoon /opt/splunk käyttämällä RPM-paketinhallintaa kuvan mukaisesti. .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Käynnistä seuraavaksi Splunk Enterprise -komentoriviliittymä (CLI).

/opt/splunk/bin/./splunk start

Lue SPLUNK-OHJELMISTON KÄYTTÖOIKEUSSOPIMUS painamalla Enter. Kun olet lukenut sen, sinulta kysytään Hyväksytkö tämän lisenssin? Jatka kirjoittamalla Y.

Do you agree with this license? [y/n]: y

Luo sitten järjestelmänvalvojan tilille tunnistetiedot. Salasanassa on oltava yhteensä vähintään 8 tulostettavaa ASCII-merkkiä.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Jos kaikki asennetut tiedostot ovat ehjiä ja kaikki alustavat tarkastukset läpäisivät, splunk-palvelindaemon (splunkd) käynnistetään, 2048-bittinen RSA-yksityinen avain luodaan ja sinä voi päästä splunk-verkkokäyttöliittymään.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Avaa seuraavaksi palomuurisi portti 8000, jota Splunk-palvelin kuuntelee, käyttämällä palomuuri-cmd:tä.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Avaa verkkoselain ja kirjoita seuraava URL-osoite päästäksesi splunk-verkkokäyttöliittymään.

http://SERVER_IP:8000

Kirjaudu sisään käyttämällä Käyttäjätunnusta: admin ja salasanaa, jonka loit asennuksen aikana.

7. Onnistuneen kirjautumisen jälkeen pääset seuraavassa kuvakaappauksessa näkyvään splunk-hallintakonsoliin. Jos haluat valvoa lokitiedostoa, esimerkiksi /var/log/secure, napsauta Lisää tietoja.

8. Napsauta sitten Monitori lisätäksesi tietoja tiedostosta.

9. Valitse seuraavasta käyttöliittymästä Tiedostot ja hakemistot.

10. Määritä sitten ilmentymä valvomaan tiedostojen ja hakemistojen tietoja. Jos haluat valvoa kaikkia hakemiston objekteja, valitse hakemisto. Jos haluat valvoa yhtä tiedostoa, valitse se. Valitse tietolähde napsauttamalla Selaa.

11. Luettelo root(/)-hakemistosi hakemistoista näytetään sinulle. Siirry lokitiedostoon, jota haluat valvoa (/var/log /secure) ja napsauta Valitse.

12. Kun olet valinnut tietolähteen, valitse Jatkuva seuranta katsoaksesi lokitiedostoa ja napsauta Seuraava asettaaksesi lähdetyypin.

13. Määritä seuraavaksi tietolähteesi lähdetyyppi. Testilokitiedostollemme (/var/log/secure) meidän on valittava Käyttöjärjestelmä→linux_secure; tämä antaa splunkille tietää, että tiedosto sisältää turvallisuuteen liittyviä viestejä Linux-järjestelmästä. Jatka sitten napsauttamalla Seuraava.

14. Voit halutessasi asettaa lisäsyöttöparametreja tälle datasyötölle. Valitse Sovelluksen konteksti -kohdassa Haku ja raportointi. Napsauta sitten Tarkista. Kun olet tarkistanut, napsauta Lähetä.

15. Tiedostosyötteesi on nyt luotu onnistuneesti. Hae tiedoistasi napsauttamalla Aloita haku.

16. Voit tarkastella kaikkia syöttämiäsi tietoja valitsemalla Asetukset → Tiedot → Tietosyötteet. Napsauta sitten tyyppiä, jota haluat tarkastella, esimerkiksi Tiedostot ja hakemistot.

17. Seuraavat ovat lisäkomentoja splunk-daemonin hallintaan (uudelleenkäynnistykseen tai pysäyttämiseen).

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Tästä lähtien voit lisätä tietolähteitä (paikallisia tai etäkäyttöisiä Splunk Forwarderin avulla), tutkia tietojasi ja/tai asentaa Splunk-sovelluksia parantaaksesi sen oletustoimintoja. Voit tehdä enemmän lukemalla virallisella verkkosivustolla toimitetun splunk-dokumentaation.

Splunk-kotisivu: https://www.splunk.com/

Siinä se toistaiseksi! Splunk on tehokas, vankka ja täysin integroitu, reaaliaikainen yrityslokien hallintaohjelmisto. Tässä artikkelissa näytimme, kuinka Splunk-lokianalyysin uusin versio asennetaan CentOS 7:ään. Jos sinulla on kysyttävää tai jaettava ajatuksia, ota meihin yhteyttä alla olevalla kommenttilomakkeella.