Com instal·lar Splunk Log Analyzer a CentOS 7

Splunk és un programari potent, robust i totalment integrat per a la gestió de registres empresarials en temps real per recopilar, emmagatzemar, cercar, diagnosticar i informar qualsevol registre i dades generades per màquina, inclosos els registres d'aplicacions estructurats, no estructurats i complexos de diverses línies.

Us permet recollir, emmagatzemar, indexar, cercar, correlacionar, visualitzar, analitzar i informar sobre qualsevol dada de registre o dades generades per la màquina de manera ràpida i repetible, per identificar i resoldre problemes operatius i de seguretat.

A més, splunk admet una àmplia gamma de casos d'ús de gestió de registres, com ara consolidació i retenció de registres, seguretat, resolució de problemes d'operacions de TI, resolució de problemes d'aplicacions, així com informes de compliment i molt més.

  • És fàcilment escalable i totalment integrat.
  • Admet fonts de dades locals i remotes.
  • Permet indexar les dades de la màquina.
  • Admet la cerca i la correlació de qualsevol dada.
  • Us permet desglossar i pujar i girar entre les dades.
  • Admet la supervisió i les alertes.
  • També admet informes i taulers per a la visualització.
  • Ofereix accés flexible a bases de dades relacionals, dades delimitades per camps en fitxers de valors separats per comes (.CSV) o a altres magatzems de dades empresarials, com ara Hadoop o NoSQL.
  • Admet una àmplia gamma de casos d'ús de gestió de registres i molt més.

En aquest article, mostrarem com instal·lar la darrera versió de l'analitzador de registres Splunk i com afegir un fitxer de registre (font de dades) i cercar-hi esdeveniments a CentOS 7 (també funciona amb la distribució RHEL).

  1. Un servidor RHEL 7 amb instal·lació mínima.
  2. Mínim 12 GB de RAM

  1. Linode VPS amb instal·lació mínima de CentOS 7.

Instal·leu Splunk Log Analyzer per supervisar els registres de CentOS 7

1. Aneu al lloc web de Splunk, creeu un compte i agafeu la darrera versió disponible per al vostre sistema des de la pàgina de descàrrega de Splunk Enterprise. Els paquets RPM estan disponibles per a Red Hat, CentOS i versions similars de Linux.

Alternativament, podeu descarregar-lo directament mitjançant el navegador web o obtenir l'enllaç de descàrrega i utilitzar wget commandv per agafar el paquet mitjançant la línia d'ordres, tal com es mostra.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Un cop hàgiu descarregat el paquet, instal·leu el Splunk Enterprise RPM al directori predeterminat /opt/splunk mitjançant el gestor de paquets RPM tal com es mostra.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. A continuació, utilitzeu la interfície de línia d'ordres (CLI) de Splunk Enterprise per iniciar el servei.

# /opt/splunk/bin/./splunk start

Llegiu l'ACORD DE LLICÈNCIA DEL PROGRAMARI SPLUNK prement Retorn. Un cop hagueu acabat de llegir-lo, se us demanarà Esteu d'acord amb aquesta llicència? Introduïu Y per continuar.

Do you agree with this license? [y/n]: y

A continuació, creeu les credencials per al compte d'administrador, la vostra contrasenya ha de contenir almenys 8 caràcters ASCII imprimibles en total.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Si tots els fitxers instal·lats estan intactes i totes les comprovacions preliminars superades, s'iniciarà el dimoni del servidor splunk (splunkd), es generarà una clau privada RSA de 2048 bits i podreu accedir a la interfície web de splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. A continuació, obriu el port 8000 on el servidor Splunk escolta, al vostre tallafoc mitjançant el firewall-cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Obriu un navegador web i escriviu l'URL següent per accedir a la interfície web de Splunk.

http://SERVER_IP:8000

Per iniciar sessió, utilitzeu Nom d'usuari: admin i la contrasenya que heu creat durant el procés d'instal·lació.

7. Després d'iniciar sessió correctament, aterrareu a la consola d'administració splunk que es mostra a la captura de pantalla següent. Per supervisar un fitxer de registre, per exemple /var/log/secure, feu clic a Afegeix dades.

8. A continuació, feu clic a Monitor per afegir dades d'un fitxer.

9. A la interfície següent, seleccioneu Fitxers i directoris.

10. A continuació, configureu la instància per supervisar fitxers i directoris per trobar dades. Per supervisar tots els objectes d'un directori, seleccioneu el directori. Per supervisar un únic fitxer, seleccioneu-lo. Feu clic a Navega per seleccionar la font de dades.

11. Se us mostrarà una llista de directoris del vostre directori arrel(/), aneu al fitxer de registre que voleu supervisar (/var/log/secure) i feu clic a Selecciona.

12. Després de seleccionar la font de dades, seleccioneu Monitor continu per veure el fitxer de registre i feu clic a Següent per definir el tipus de font.

13. A continuació, definiu el tipus de font per a la vostra font de dades. Per al nostre fitxer de registre de prova (/var/log/secure), hem de seleccionar Sistema operatiu→linux_secure; això permet a Splunk saber que el fitxer conté missatges relacionats amb la seguretat d'un sistema Linux. A continuació, feu clic a Següent per continuar.

14. Opcionalment, podeu establir paràmetres d'entrada addicionals per a aquesta entrada de dades. A Context de l'aplicació, seleccioneu Cerca i informes. A continuació, feu clic a Revisar. Després de revisar, feu clic a Envia.

15. Ara l'entrada del fitxer s'ha creat correctament. Feu clic a Comença a cercar per cercar les vostres dades.

16. Per veure totes les entrades de dades, aneu a Configuració→Dades→Entrades de dades. A continuació, feu clic al tipus que voleu veure, per exemple, Fitxers i directoris.

17. A continuació es mostren ordres addicionals per gestionar (reiniciar o aturar) el dimoni splunk.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

A partir d'ara, podeu afegir més fonts de dades (locals o remotes amb Splunk Forwarder), explorar les vostres dades i/o instal·lar aplicacions Splunk per millorar la seva funcionalitat predeterminada. Podeu fer més coses llegint la documentació de Splunk que es proporciona al lloc web oficial.

Pàgina d'inici de Splunk: https://www.splunk.com/

Això és tot de moment! Splunk és un programari de gestió de registres empresarials en temps real potent, robust i totalment integrat. En aquest article, vam mostrar com instal·lar l'última versió de l'analitzador de registres Splunk a CentOS 7. Si teniu cap pregunta o pensament per compartir, utilitzeu el formulari de comentaris següent per contactar-nos.