Splunk adalah perangkat lunak yang kuat, kuat, dan terintegrasi penuh untuk manajemen log perusahaan waktu nyata untuk mengumpulkan, menyimpan, mencari, mendiagnosis dan melaporkan setiap log dan data yang dihasilkan mesin, termasuk aplikasi multi-baris terstruktur, tidak terstruktur, dan kompleks log.
Ini memungkinkan Anda untuk mengumpulkan, menyimpan, mengindeks, mencari, menghubungkan, memvisualisasikan, menganalisis, dan melaporkan data log apa pun atau data yang dihasilkan mesin dengan cepat dan berulang, untuk mengidentifikasi dan menyelesaikan operasional dan keamanan masalah.
Selain itu, splunk mendukung berbagai kasus penggunaan manajemen log seperti konsolidasi dan retensi log, keamanan, pemecahan masalah operasi TI, pemecahan masalah aplikasi serta pelaporan kepatuhan dan banyak lagi lagi.
Pada artikel ini, kami akan menunjukkan cara menginstal versi terbaru dari Splunk penganalisis log dan cara menambahkan file log (sumber data) dan menelusurinya untuk acara di CentOS 7 (juga bekerja pada RHEL distribusi).
1. Buka situs web splunk, buat akun dan ambil versi terbaru yang tersedia untuk sistem Anda dari Unduh Splunk Enterprise halaman. Paket RPM tersedia untuk Red Hat, CentOS, dan versi Linux yang serupa.
Atau, Anda dapat mengunduhnya langsung melalui browser web atau mendapatkan tautan unduhan, dan gunakan perintah wgetv untuk mengambil paket melalui baris perintah seperti yang ditunjukkan.
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm ' https://www.splunk.com/bin/splunk/DownloadActivityServlet? arsitektur=x86_64&platform=linux&versi=7.1.2&produk=splunk&namafile=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. Setelah Anda mengunduh paket, instal RPM Perusahaan Splunk di direktori default /opt/splunk menggunakan Manajer paket RPM seperti yang ditunjukkan.
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm peringatan: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Tanda tangan, ID kunci 653fb112: NOKEY. useradd: tidak dapat membuat direktori /opt/splunk menyelesaikan.
3. Selanjutnya, gunakan Perusahaan Splunk antarmuka baris perintah (CLI) untuk memulai layanan.
# /opt/splunk/bin/./splunk start
Baca melalui SPERJANJIAN LISENSI PERANGKAT LUNAK PLUNK dengan menekan Memasuki. Setelah Anda selesai membacanya, Anda akan ditanya Apakah Anda setuju dengan lisensi ini? Memasuki kamu
untuk melanjutkan.
Apakah Anda setuju dengan lisensi ini? [y/t]: kamu
Kemudian buat kredensial untuk akun administrator, kata sandi Anda harus berisi setidaknya 8 karakter ASCII total yang dapat dicetak.
Buat kredensial untuk akun administrator. Karakter tidak muncul di layar saat Anda mengetik kata sandi. Kata sandi harus mengandung setidaknya: * 8 total karakter ASCII yang dapat dicetak. Silakan masukkan kata sandi baru: Harap konfirmasi kata sandi baru:
4. Jika semua file yang terinstal masih utuh dan semua pemeriksaan awal berhasil, daemon server splunk (splunkd) akan dimulai, kunci pribadi RSA 2048 bit akan dibuat dan Anda dapat mengakses antarmuka web splunk.
Semua pemeriksaan awal lulus. Memulai daemon server splunk (splunkd)... Menghasilkan kunci pribadi RSA 2048 bit. ...+++ ...+++ menulis kunci pribadi baru ke Tanda Tangan 'privKeySecure.pem' ok. subjek=/CN=tecmint/O=SplunkUser. Mendapatkan Kunci Pribadi CA. menulis kunci RSA. Selesai [ OK ] Menunggu web server dihttp://127.0.0.1:8000 untuk tersedia... Selesai Jika Anda buntu, kami siap membantu. Cari jawaban di sini: http://docs.splunk.com Antarmuka web Splunk ada di http://tecmint: 8000
5. Selanjutnya, buka port 8000 server Splunk mana yang mendengarkan, di firewall Anda menggunakan firewall-cmd.
# firewall-cmd --add-port=8000/tcp --permanen. # firewall-cmd --reload.
6. Buka browser web dan ketik URL berikut untuk mengakses antarmuka web splunk.
http://SERVER_IP: 8000
Untuk masuk, gunakan Nama Pengguna: admin dan kata sandi yang Anda buat selama proses instalasi.
7. Setelah login berhasil, Anda akan mendarat di konsol admin splunk yang ditunjukkan pada tangkapan layar berikut. Untuk memantau file log, misalnya /var/log/secure
, klik Tambahkan Data.
8. Kemudian klik Memantau untuk menambahkan data dari file.
9. Dari antarmuka berikutnya, pilih File & Direktori.
10. Kemudian atur instance untuk memantau file dan direktori untuk data. Untuk memantau semua objek dalam direktori, pilih direktori. Untuk memantau satu file, pilih file tersebut. Klik Jelajahi untuk memilih sumber data.
11. Daftar direktori di Anda akar(/)
direktori akan ditampilkan kepada Anda, navigasikan ke file log yang ingin Anda pantau (/var/log/secure) dan klik Pilih.
12. Setelah memilih sumber data, pilih Pantau terus menerus untuk menonton file log itu dan klik Berikutnya untuk mengatur jenis sumber.
13. Selanjutnya, tetapkan jenis sumber untuk sumber data Anda. Untuk file log pengujian kami (/var/log/aman)
, kita harus memilih Sistem Operasi→linux_secure; ini memberi tahu splunk bahwa file tersebut berisi pesan terkait keamanan dari sistem Linux. Lalu klik Berikutnya untuk melanjutkan.
14. Anda dapat secara opsional mengatur parameter input tambahan untuk input data ini. Dibawah Konteks aplikasi, Pilih Cari & Pelaporan. Lalu klik Tinjauan. Setelah meninjau, klik Kirim.
15. Sekarang input file Anda telah berhasil dibuat. Klik Mulai Mencari untuk mencari data Anda.
16. Untuk melihat semua input data Anda, buka Pengaturan→Data→Input Data. Kemudian klik pada jenis yang ingin Anda lihat misalnya File & Direktori.
17. Berikut ini adalah perintah tambahan untuk mengelola (memulai ulang atau menghentikan) daemon splunk.
# /opt/splunk/bin/./splunk restart. # /opt/splunk/bin/./splunk stop.
Mulai sekarang, Anda dapat menambahkan lebih banyak sumber data (lokal atau jarak jauh menggunakan Splunk Forwarder), jelajahi data Anda dan/atau instal aplikasi Splunk untuk meningkatkan fungsionalitas defaultnya. Anda dapat melakukan lebih banyak dengan membaca dokumentasi splunk yang disediakan di situs web resmi.
Beranda Splunk: https://www.splunk.com/
Itu saja untuk saat ini! Splunk adalah perangkat lunak manajemen log perusahaan yang kuat, tangguh, dan terintegrasi penuh secara real-time. Pada artikel ini, kami menunjukkan cara menginstal versi terbaru penganalisis log Splunk di CentOS 7. Jika Anda memiliki pertanyaan atau pemikiran untuk dibagikan, gunakan formulir komentar di bawah untuk menghubungi kami.