Kuinka asentaa Splunk Log Analyzer CentOS 7: een

Splunk on tehokas, kestävä ja täysin integroitu ohjelmisto reaaliaikaiseen yrityslokin hallintaan, jotta kerätään, tallennetaan, haetaan, diagnosoidaan ja raportoidaan kaikki loki- ja koneella luodut tiedot, mukaan lukien jäsennellyt, rakentamattomat ja monimutkaiset moniriviset sovelluslokit.

Sen avulla voit kerätä, tallentaa, indeksoida, hakea, korreloida, visualisoida, analysoida ja raportoida kaikista lokitiedoista tai koneella luotuista tiedoista nopeasti ja toistettavalla tavalla operatiivisten ja tietoturvakysymysten tunnistamiseksi ja ratkaisemiseksi.

Lisäksi splunk tukee monenlaisia lokinhallinnan käyttötapauksia, kuten lokien yhdistämistä ja säilyttämistä, tietoturvaa, IT-toimintojen vianmääritystä, sovellusten vianmääritystä sekä vaatimustenmukaisuuden raportointia ja paljon muuta.

  • Se on helposti skaalautuva ja täysin integroitava.
  • Tukee sekä paikallisia että etätietolähteitä.
  • Sallii konetietojen indeksoinnin.
  • Tukee tietojen etsimistä ja vastaavuutta.
  • Sen avulla voit porata alaspäin, ylöspäin ja kiertää tietoja.
  • Tukee seurantaa ja hälytyksiä.
  • Tukee myös raportteja ja koontinäyttöjä visualisointia varten.
  • Tarjoaa joustavan pääsyn relaatiotietokantoihin, kenttäeroteltuihin tietoihin pilkuilla erotetuissa tiedostoissa (.CSV) tai muihin yritystietovarastoihin, kuten Hadoop tai NoSQL.
  • Tukee laajaa lokinhallinnan käyttötapauksia ja paljon muuta.

Tässä artikkelissa näytetään, miten asennetaan Splunk-lokianalysaattorin uusin versio ja miten lisätään lokitiedosto (tietolähde) ja haetaan sen kautta tapahtumia CentOS 7: ssä (toimii myös RHEL-jakelussa).

  1. RHEL 7 -palvelin, jolla on vähäinen asennus.
  2. Vähintään 12 Gt RAM-muistia

  1. Linode VPS, CentOS 7: n vähäinen asennus.

Asenna Splunk Log Analyzer Monitor CentOS 7 -lokeihin

1. Siirry splunk-verkkosivustolle, luo tili ja napauta uusin saatavilla oleva versio järjestelmällesi Splunk Enterprise -lataussivulta. RPM-paketteja on saatavana Red Hatille, CentOS: lle ja vastaaville Linux-versioille.

Vaihtoehtoisesti voit ladata sen suoraan verkkoselaimen kautta tai hakea latauslinkin ja napata paketin komentorivillä wget commandv: n avulla kuvan osoittamalla tavalla.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Kun olet ladannut paketin, asenna Splunk Enterprise RPM oletushakemistoon/opt/splunk käyttämällä RPM-paketinhallintaa kuvan osoittamalla tavalla.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Käynnistä sitten palvelu Splunk Enterprise-komentoriviliittymällä (CLI).

# /opt/splunk/bin/./splunk start

Lue SPLUNK-OHJELMISTON LISENSSISOPIMUS läpi painamalla Enter. Kun olet lukenut sen, sinulta kysytään, hyväksytkö tämän lisenssin? Jatka kirjoittamalla Y .

Do you agree with this license? [y/n]: y

Luo sitten kirjautumistiedot järjestelmänvalvojan tilille, salasanasi on sisällettävä vähintään 8 tulostettavaa ASCII-merkkiä.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Jos kaikki asennetut tiedostot ovat ehjät ja kaikki ennakkotarkistukset läpäisty, splunk-palvelinmonitori (splunkd) käynnistyy, 2048-bittinen yksityinen RSA-avain luodaan ja voit käyttää splunk-verkkoliittymää.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Seuraavaksi avaa portti 8000, jota Splunk-palvelin kuuntelee, palomuurissasi palomuurin cmd avulla.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Avaa verkkoselain ja kirjoita seuraava URL päästäksesi splunk-web-käyttöliittymään.

http://SERVER_IP:8000

Kirjaudu sisään käyttämällä käyttäjänimeä: admin ja asennuksen aikana luomasi salasanaa.

7. Onnistuneen kirjautumisen jälkeen laskeudut seuraavassa kuvakaappauksessa näkyvään splunk-hallintakonsoliin. Voit seurata lokitiedostoa, esimerkiksi /var/log/secure , napsauttamalla Lisää tietoja.

8. Napsauta sitten Monitoria lisätäksesi tietoja tiedostosta.

9. Valitse seuraavasta käyttöliittymästä Tiedostot ja hakemistot.

10. Määritä sitten ilmentymä seuraamaan tiedostoja ja hakemistoja. Voit seurata kaikkia hakemiston objekteja valitsemalla hakemisto. Voit seurata yksittäistä tiedostoa valitsemalla sen. Napsauta Selaa valitaksesi tietolähteen.

11. Luettelo juurihakemisto (/) -hakemistosta näytetään sinulle, siirry seurattavaan lokitiedostoon (/ var/log/secure) ja napsauta Valitse.

12. Kun olet valinnut tietolähteen, valitse Continuously Monitor seurataksesi lokitiedostoa ja aseta lähdetyyppi napsauttamalla Seuraava.

13. Seuraavaksi määritä tietolähteen lähdetyyppi. Testilokitiedostolle (/ var/log/secure) meidän on valittava Käyttöjärjestelmä → linux_secure; tämä antaa splunkille tietää, että tiedosto sisältää tietoturvaan liittyviä viestejä Linux-järjestelmästä. Napsauta sitten Seuraava jatkaaksesi.

14. Voit halutessasi asettaa tälle syötteelle lisäparametreja. Valitse Sovelluskonteksti-kohdasta Haku ja raportointi. Napsauta sitten Tarkista. Kun olet tarkistanut, valitse Lähetä.

15. Tiedostosi on nyt luotu onnistuneesti. Napsauta Aloita haku etsiäksesi tietojasi.

16. Voit tarkastella kaikkia tietosi syöttöjä valitsemalla Asetukset → Data → Data Input. Napsauta sitten tyyppiä, jota haluat tarkastella, esimerkiksi Tiedostot ja hakemistot.

17. Seuraavat ovat lisäkomentoja hallita (käynnistää tai pysäyttää) splunk-demonia.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Tästä lähtien voit lisätä lisää tietolähteitä (paikallisia tai etäyhteyksiä Splunk Forwarder -sovelluksen avulla), tutkia tietojasi ja/tai asentaa Splunk-sovelluksia parantamaan sen oletustoimintoja. Voit tehdä enemmän lukemalla virallisilla verkkosivuilla toimitetut spunk-asiakirjat.

Splunk-kotisivu: https://www.splunk.com/

Se on nyt! Splunk on tehokas, kestävä ja täysin integroitu, reaaliaikainen yrityslokinhallintaohjelmisto. Tässä artikkelissa näytimme, kuinka Splunk-lokianalysaattorin uusin versio asennetaan CentOS 7: een. Jos sinulla on kysyttävää tai ajatuksia jakaa, käytä alla olevaa kommenttilomaketta päästäksesi meihin.