![Come guardare Netflix con amici e familiari?](/f/41bfbcb5a25a66795df301d6615d46a6.jpg?width=100&height=100)
Splunk è un software potente, robusto e completamente integrato per la gestione dei log aziendali in tempo reale per raccogliere, archiviare, cercare, diagnosticare e segnalare qualsiasi registro e dati generati dalla macchina, comprese le applicazioni multilinea strutturate, non strutturate e complesse log.
Ti consente di raccogliere, archiviare, indicizzare, cercare, correlare, visualizzare, analizzare e creare rapporti su qualsiasi dato di registro o dati generati dalla macchina in modo rapido e ripetibile, per identificare e risolvere operazioni e sicurezza problemi.
Inoltre, splunk supporta un'ampia gamma di casi d'uso di gestione dei log come consolidamento e conservazione dei log, sicurezza, risoluzione dei problemi relativi alle operazioni IT, risoluzione dei problemi delle applicazioni, report di conformità e molto altro ancora di più.
In questo articolo, mostreremo come installare l'ultima versione di Splunk analizzatore di log e come aggiungere un file di log (fonte di dati) e cercare attraverso di esso gli eventi in CentOS 7 (funziona anche su RHEL distribuzione).
1. Vai al sito web di splunk, crea un account e prendi l'ultima versione disponibile per il tuo sistema da Scarica Splunk Enterprise pagina. I pacchetti RPM sono disponibili per Red Hat, CentOS e versioni simili di Linux.
In alternativa, puoi scaricarlo direttamente tramite il browser Web o ottenere il link per il download e utilizzare comando wgetv per prendere il pacchetto tramite la riga di comando come mostrato.
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm ' https://www.splunk.com/bin/splunk/DownloadActivityServlet? architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. Una volta scaricato il pacchetto, installa il Splunk Enterprise RPM nella directory predefinita /opt/splunk usando il Gestore pacchetti RPM come mostrato.
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm avviso: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 Firma DSA/SHA1, ID chiave 653fb112: NOKEY. useradd: impossibile creare la directory /opt/splunk completare.
3. Quindi, usa il Splunk Enterprise interfaccia della riga di comando (CLI) per avviare il servizio.
# /opt/splunk/bin/./splunk start
Leggi attraverso il SCONTRATTO DI LICENZA SOFTWARE PLUNK premendo accedere. Una volta completata la lettura, ti verrà chiesto Sei d'accordo con questa licenza? accedere sì
continuare.
Sei d'accordo con questa licenza? [s/n]: sì
Quindi crea le credenziali per l'account amministratore, la tua password deve contenere almeno 8 caratteri ASCII stampabili in totale.
Crea le credenziali per l'account amministratore. I caratteri non vengono visualizzati sullo schermo quando si digita la password. La password deve contenere almeno: * 8 caratteri ASCII stampabili totali. Si prega di inserire una nuova password: Si prega di confermare la nuova password:
4. Se tutti i file installati sono intatti e tutti i controlli preliminari sono stati superati, il demone del server splunk (splunkd) verrà avviato, verrà generata una chiave privata RSA a 2048 bit e sarà possibile accedere all'interfaccia web di splunk.
Tutti i controlli preliminari sono stati superati. Avvio del demone del server splunk (splunkd)... Generazione di una chiave privata RSA a 2048 bit. ...+++ ...+++ scrittura della nuova chiave privata su 'privKeySecure.pem' Firma ok. soggetto=/CN=tecmint/O=SplunkUser. Ottenere la chiave privata CA. scrivere la chiave RSA. Fatto [ OK ] In attesa del server web suhttp://127.0.0.1:8000 essere disponibile... Fatto Se rimani bloccato, siamo qui per aiutarti. Cerca qui le risposte: http://docs.splunk.com L'interfaccia web di Splunk è su http://tecmint: 8000
5. Quindi, apri la porta 8000 su cui il server Splunk è in ascolto, nel tuo firewall usando il firewall-cmd.
# firewall-cmd --add-port=8000/tcp --permanent. # firewall-cmd --reload.
6. Apri un browser web e digita il seguente URL per accedere all'interfaccia web di splunk.
http://SERVER_IP: 8000
Per accedere, utilizzare il nome utente: amministratore e la password creata durante il processo di installazione.
7. Dopo un accesso riuscito, atterrerai nella console di amministrazione di splunk mostrata nello screenshot seguente. Per monitorare un file di registro, ad esempio /var/log/secure
, clicca su Aggiungi dati.
8. Quindi fare clic su Tenere sotto controllo per aggiungere dati da un file.
9. Dall'interfaccia successiva, scegli File e directory.
10. Quindi configura l'istanza per monitorare file e directory per i dati. Per monitorare tutti gli oggetti in una directory, selezionare la directory. Per monitorare un singolo file, selezionalo. Clicca su Navigare per selezionare l'origine dati.
11. Un elenco di directory nel tuo radice(/)
ti verrà mostrata la directory, vai al file di log che vuoi monitorare (/var/log/secure) e fare clic su Selezionare.
12. Dopo aver selezionato l'origine dati, selezionare Monitoraggio continuo per guardare quel file di registro e fare clic su Prossimo per impostare il tipo di sorgente.
13. Quindi, imposta il tipo di origine per la tua origine dati. Per il nostro file di registro di prova (/var/log/sicuro)
, dobbiamo selezionare Sistema operativo→linux_secure; questo fa sapere a splunk che il file contiene messaggi relativi alla sicurezza da un sistema Linux. Quindi fare clic su Prossimo procedere.
14. È possibile impostare facoltativamente parametri di input aggiuntivi per questo input di dati. Sotto Contesto dell'app, Selezionare Ricerca e rapporti. Quindi fare clic su Recensione. Dopo la revisione, fare clic su Invia.
15. Ora il tuo file di input è stato creato con successo. Clicca su Inizia la ricerca per cercare i tuoi dati.
16. Per visualizzare tutti i tuoi input di dati, vai a Impostazioni→Dati→Ingressi dati. Quindi fare clic sul tipo che si desidera visualizzare, ad esempio File e directory.
17. I seguenti sono comandi aggiuntivi per gestire (riavviare o arrestare) il demone splunk.
# /opt/splunk/bin/./splunk restart. # /opt/splunk/bin/./splunk stop.
D'ora in poi, puoi aggiungere più origini dati (locali o remote usando Spedizioniere Splunk), esplora i tuoi dati e/o installa le app Splunk per migliorarne le funzionalità predefinite. Puoi fare di più leggendo la documentazione splunk fornita sul sito ufficiale.
Splunk Homepage: https://www.splunk.com/
Questo è tutto per ora! Splunk è un software di gestione dei registri aziendali in tempo reale potente, robusto e completamente integrato. In questo articolo, abbiamo mostrato come installare l'ultima versione dell'analizzatore di log Splunk su CentOS 7. Se hai domande o pensieri da condividere, usa il modulo di commento qui sotto per contattarci.