Com instal·lar Splunk Log Analyzer a CentOS 7
Splunk és un programari potent, robust i totalment integrat per a la gestió de registres empresarials en temps real per recopilar, emmagatzemar, cercar, diagnosticar i informar qualsevol registre i dades generades per màquina, inclosos els registres d'aplicacions estructurats, no estructurats i complexos de diverses línies.
Us permet recollir, emmagatzemar, indexar, cercar, correlacionar, visualitzar, analitzar i informar sobre qualsevol dada de registre o dades generades per la màquina de manera ràpida i repetible, per identificar i resoldre problemes operatius i de seguretat.
A més, splunk admet una àmplia gamma de casos d'ús de gestió de registres, com ara consolidació i retenció de registres, seguretat, resolució de problemes d'operacions de TI, resolució de problemes d'aplicacions, així com informes de compliment i molt més.
- És fàcilment escalable i totalment integrat.
- Admet fonts de dades locals i remotes.
- Permet indexar les dades de la màquina.
- Admet la cerca i la correlació de qualsevol dada.
- Us permet desglossar i pujar i girar entre les dades.
- Admet la supervisió i les alertes.
- També admet informes i taulers per a la visualització.
- Ofereix accés flexible a bases de dades relacionals, dades delimitades per camps en fitxers de valors separats per comes (.CSV) o a altres magatzems de dades empresarials, com ara Hadoop o NoSQL.
- Admet una àmplia gamma de casos d'ús de gestió de registres i molt més.
En aquest article, mostrarem com instal·lar la darrera versió de l'analitzador de registres Splunk i com afegir un fitxer de registre (font de dades) i cercar-hi esdeveniments a CentOS 7 (també funciona amb la distribució RHEL).
- Un servidor RHEL 7 amb instal·lació mínima.
- Mínim 12 GB de RAM
- Linode VPS amb instal·lació mínima de CentOS 7.
Instal·leu Splunk Log Analyzer per supervisar els registres de CentOS 7
1. Aneu al lloc web de Splunk, creeu un compte i agafeu la darrera versió disponible per al vostre sistema des de la pàgina de descàrrega de Splunk Enterprise. Els paquets RPM estan disponibles per a Red Hat, CentOS i versions similars de Linux.
Alternativament, podeu descarregar-lo directament mitjançant el navegador web o obtenir l'enllaç de descàrrega i utilitzar wget commandv per agafar el paquet mitjançant la línia d'ordres, tal com es mostra.
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. Un cop hàgiu descarregat el paquet, instal·leu el Splunk Enterprise RPM al directori predeterminat /opt/splunk mitjançant el gestor de paquets RPM tal com es mostra.
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY useradd: cannot create directory /opt/splunk complete
3. A continuació, utilitzeu la interfície de línia d'ordres (CLI) de Splunk Enterprise per iniciar el servei.
# /opt/splunk/bin/./splunk start
Llegiu l'ACORD DE LLICÈNCIA DEL PROGRAMARI SPLUNK prement Retorn. Un cop hagueu acabat de llegir-lo, se us demanarà Esteu d'acord amb aquesta llicència? Introduïu Y
per continuar.
Do you agree with this license? [y/n]: y
A continuació, creeu les credencials per al compte d'administrador, la vostra contrasenya ha de contenir almenys 8 caràcters ASCII imprimibles en total.
Create credentials for the administrator account. Characters do not appear on the screen when you type the password. Password must contain at least: * 8 total printable ASCII character(s). Please enter a new password: Please confirm new password:
4. Si tots els fitxers instal·lats estan intactes i totes les comprovacions preliminars superades, s'iniciarà el dimoni del servidor splunk (splunkd), es generarà una clau privada RSA de 2048 bits i podreu accedir a la interfície web de splunk.
All preliminary checks passed. Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key ......................+++ .....+++ writing new private key to 'privKeySecure.pem' ----- Signature ok subject=/CN=tecmint/O=SplunkUser Getting CA Private Key writing RSA key Done [ OK ] Waiting for web server at http://127.0.0.1:8000 to be available............. Done If you get stuck, we're here to help. Look for answers here: http://docs.splunk.com The Splunk web interface is at http://tecmint:8000
5. A continuació, obriu el port 8000 on el servidor Splunk escolta, al vostre tallafoc mitjançant el firewall-cmd.
# firewall-cmd --add-port=8000/tcp --permanent # firewall-cmd --reload
6. Obriu un navegador web i escriviu l'URL següent per accedir a la interfície web de Splunk.
http://SERVER_IP:8000
Per iniciar sessió, utilitzeu Nom d'usuari: admin i la contrasenya que heu creat durant el procés d'instal·lació.
7. Després d'iniciar sessió correctament, aterrareu a la consola d'administració splunk que es mostra a la captura de pantalla següent. Per supervisar un fitxer de registre, per exemple /var/log/secure
, feu clic a Afegeix dades.
8. A continuació, feu clic a Monitor per afegir dades d'un fitxer.
9. A la interfície següent, seleccioneu Fitxers i directoris.
10. A continuació, configureu la instància per supervisar fitxers i directoris per trobar dades. Per supervisar tots els objectes d'un directori, seleccioneu el directori. Per supervisar un únic fitxer, seleccioneu-lo. Feu clic a Navega per seleccionar la font de dades.
11. Se us mostrarà una llista de directoris del vostre directori arrel(/)
, aneu al fitxer de registre que voleu supervisar (/var/log/secure) i feu clic a Selecciona.
12. Després de seleccionar la font de dades, seleccioneu Monitor continu per veure el fitxer de registre i feu clic a Següent per definir el tipus de font.
13. A continuació, definiu el tipus de font per a la vostra font de dades. Per al nostre fitxer de registre de prova (/var/log/secure)
, hem de seleccionar Sistema operatiu→linux_secure; això permet a Splunk saber que el fitxer conté missatges relacionats amb la seguretat d'un sistema Linux. A continuació, feu clic a Següent per continuar.
14. Opcionalment, podeu establir paràmetres d'entrada addicionals per a aquesta entrada de dades. A Context de l'aplicació, seleccioneu Cerca i informes. A continuació, feu clic a Revisar. Després de revisar, feu clic a Envia.
15. Ara l'entrada del fitxer s'ha creat correctament. Feu clic a Comença a cercar per cercar les vostres dades.
16. Per veure totes les entrades de dades, aneu a Configuració→Dades→Entrades de dades. A continuació, feu clic al tipus que voleu veure, per exemple, Fitxers i directoris.
17. A continuació es mostren ordres addicionals per gestionar (reiniciar o aturar) el dimoni splunk.
# /opt/splunk/bin/./splunk restart # /opt/splunk/bin/./splunk stop
A partir d'ara, podeu afegir més fonts de dades (locals o remotes amb Splunk Forwarder), explorar les vostres dades i/o instal·lar aplicacions Splunk per millorar la seva funcionalitat predeterminada. Podeu fer més coses llegint la documentació de Splunk que es proporciona al lloc web oficial.
Pàgina d'inici de Splunk: https://www.splunk.com/
Això és tot de moment! Splunk és un programari de gestió de registres empresarials en temps real potent, robust i totalment integrat. En aquest article, vam mostrar com instal·lar l'última versió de l'analitzador de registres Splunk a CentOS 7. Si teniu cap pregunta o pensament per compartir, utilitzeu el formulari de comentaris següent per contactar-nos.