Splunk este un software puternic, robust și complet integrat pentru gestionarea în timp real a jurnalelor de întreprindere pentru colectare, stocare, căutare, diagnosticați și raportați orice jurnal și date generate de mașini, inclusiv aplicații multi-linii structurate, nestructurate și complexe busteni.
Vă permite să colecționați, să stocați, să indexați, să căutați, să corelați, să vizualizați, să analizați și să raportați orice date din jurnal sau date generate de mașini rapid și într-o manieră repetabilă, pentru a identifica și rezolva operațional și securitatea probleme.
În plus, splunk acceptă o gamă largă de cazuri de utilizare a gestionării jurnalului, cum ar fi consolidarea și păstrarea jurnalului, securitate, depanarea operațiunilor IT, depanarea aplicațiilor, precum și raportarea conformității și multe altele Mai Mult.
În acest articol, vom arăta cum să instalați cea mai recentă versiune de Splunk analizor de jurnal și cum să adăugați un fișier jurnal (sursă de date) și să căutați prin acesta evenimente în CentOS 7 (funcționează și la RHEL distribuție).
1. Accesați site-ul web Splunk, creați un cont și obțineți cea mai recentă versiune disponibilă pentru sistemul dvs. de pe Descărcare Splunk Enterprise pagină. Pachetele RPM sunt disponibile pentru Red Hat, CentOS și versiuni similare de Linux.
Alternativ, îl puteți descărca direct prin browserul web sau puteți obține linkul de descărcare și utilizați comanda wgetv pentru a apuca pachetul prin linia de comandă așa cum se arată.
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm ' https://www.splunk.com/bin/splunk/DownloadActivityServlet? architecture = x86_64 & platform = linux & version = 7.1.2 & product = splunk & filename = splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm & wget = true '
2. După ce ați descărcat pachetul, instalați fișierul Splunk Enterprise RPM în directorul implicit /opt/splunk folosind Manager de pachete RPM așa cum se arată.
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm avertisment: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: antet V4 Semnătura DSA / SHA1, ID cheie 653fb112: NOKEY. useradd: nu poate crea directorul /opt/splunk complet.
3. Apoi, utilizați Splunk Enterprise interfață linie de comandă (CLI) pentru a porni serviciul.
# /opt/splunk/bin/./splunk start
Citiți prin SCONTRACT DE LICENȚĂ SOFTWARE PLUNK prin apăsarea introduce. Odată ce ați terminat de citit, veți fi întrebat Sunteți de acord cu această licență? introduce Da
a continua.
Sunteți de acord cu această licență? [da / n]: y
Apoi creați acreditări pentru contul de administrator, parola dvs. trebuie să conțină cel puțin 8 caractere ASCII imprimabile în total.
Creați acreditări pentru contul de administrator. Caracterele nu apar pe ecran când introduceți parola. Parola trebuie să conțină cel puțin: * 8 caractere ASCII imprimabile în total. Vă rugăm să introduceți o nouă parolă: Vă rugăm să confirmați noua parolă:
4. Dacă toate fișierele instalate sunt intacte și toate verificările preliminare trecute, daemonul serverului splunk (splunkd) va fi pornit, va fi generată o cheie privată RSA de 2048 biți și puteți accesa interfața web splunk.
Toate verificările preliminare au trecut. Se pornește demonul serverului splunk (splunkd)... Generarea unei chei private RSA de 2048 biți. ...+++ ...+++ scrierea unei noi chei private la „privKeySecure.pem” Semnătură ok. subject = / CN = tecmint / O = SplunkUser. Obținerea cheii private CA. scriind cheia RSA. Gata [OK] Se așteaptă serverul web lahttp://127.0.0.1:8000 a fi disponibil... Gata Dacă vă blocați, suntem aici pentru a vă ajuta. Căutați răspunsuri aici: http://docs.splunk.com Interfața web Splunk este la http://tecmint: 8000
5. Apoi, deschideți portul 8000 pe care serverul Splunk îl ascultă în firewall-ul dvs. folosind firewall-cmd.
# firewall-cmd --add-port = 8000 / tcp --permanent. # firewall-cmd --reload.
6. Deschideți un browser web și tastați următoarea adresă URL pentru a accesa interfața web splunk.
http://SERVER_IP: 8000
Pentru a vă autentifica, utilizați numele de utilizator: admin și parola pe care le-ați creat în timpul procesului de instalare.
7. După o autentificare reușită, veți ateriza în consola de administrare splunk prezentată în următoarea captură de ecran. Pentru a monitoriza un fișier jurnal, de exemplu /var/log/secure
, Click pe Adăugați date.
8. Apoi faceți clic pe Monitor pentru a adăuga date dintr-un fișier.
9. Din următoarea interfață, alegeți Fișiere și directoare.
10. Apoi configurați instanța pentru a monitoriza fișierele și directoarele pentru date. Pentru a monitoriza toate obiectele dintr-un director, selectați directorul. Pentru a monitoriza un singur fișier, selectați-l. Click pe Naviga pentru a selecta sursa de date.
11. O listă de directoare din rădăcină(/)
directorul vă va fi afișat, navigați la fișierul jurnal pe care doriți să îl monitorizați (/var/log/secure) și faceți clic pe Selectați.
12. După selectarea sursei de date, selectați Monitorizați continuu pentru a urmări acel fișier jurnal și a faceți clic pe Următorul pentru a seta tipul sursei.
13. Apoi, setați tipul sursei pentru sursa dvs. de date. Pentru fișierul jurnal de testare (/ var / log / secure)
, trebuie să selectăm Sistem de operare → linux_secure; aceasta îi permite lui Splunk să știe că fișierul conține mesaje legate de securitate de pe un sistem Linux. Apoi apasa Următorul a inainta, a merge mai departe.
14. Opțional, puteți seta parametri suplimentari de intrare pentru această intrare de date. Sub Contextul aplicației, Selectați Căutare și raportare. Apoi apasa Revizuire. După examinare, faceți clic pe Trimite.
15. Acum, fișierul dvs. introdus a fost creat cu succes. Click pe Începeți să căutați pentru a vă căuta datele.
16. Pentru a vizualiza toate datele introduse, accesați Setări → Date → Intrări de date. Apoi faceți clic pe tipul pe care doriți să îl vizualizați, de exemplu Fișiere și directoare.
17. Următoarele sunt comenzi suplimentare pentru a gestiona (reporni sau opri) daemonul splunk.
# /opt/splunk/bin/./splunk restart. # /opt/splunk/bin/./splunk stop.
De acum înainte, puteți adăuga mai multe surse de date (locale sau la distanță folosind Splunk Forwarder), explorați-vă datele și / sau instalați aplicații Splunk pentru îmbunătățirea funcționalității sale implicite. Puteți face mai multe citind documentația spunk furnizată pe site-ul oficial.
Pagina de pornire Splunk: https://www.splunk.com/
Atât deocamdată! Splunk este un software de gestionare a jurnalelor de întreprindere în timp real puternic, robust și complet integrat. În acest articol, am arătat cum să instalați cea mai recentă versiune a analizorului de jurnal Splunk pe CentOS 7. Dacă aveți întrebări sau gânduri de împărtășit, folosiți formularul de comentarii de mai jos pentru a ne contacta.