Kako instalirati Splunk Log Analyzer na CentOS 7

Splunk je snažan, robustan i potpuno integrirani softver za upravljanje poslovnim zapisnicima u stvarnom vremenu za prikupljanje, pohranjivanje, pretraživanje, dijagnosticiranje i izvješćivanje o bilo kojem zapisniku i strojno generiranim podacima, uključujući strukturirane, nestrukturirane i složene zapisnici aplikacija s više redaka.

Omogućuje vam prikupljanje, pohranjivanje, indeksiranje, pretraživanje, korelaciju, vizualizaciju, analizu i izvješćivanje o svim podacima dnevnika ili strojno generiranim podacima brzo i na ponovljiv način, kako biste identificirali i riješili operativne i sigurnosne probleme.

Osim toga, splunk podržava širok raspon slučajeva korištenja upravljanja zapisnicima kao što su konsolidacija i zadržavanje dnevnika, sigurnost, rješavanje problema s IT operacijama, rješavanje problema s aplikacijama kao i izvješćivanje o usklađenosti i još mnogo toga.

Splunk značajke:

  • Lako je skalabilan i potpuno integriran.
  • Podržava lokalne i udaljene izvore podataka.
  • Omogućuje indeksiranje strojnih podataka.
  • Podržava pretraživanje i povezivanje bilo kojih podataka.
  • Omogućuje vam bušenje prema dolje i gore i okretanje podataka.
  • Podržava praćenje i upozoravanje.
  • Također podržava izvješća i nadzorne ploče za vizualizaciju.
  • Omogućuje fleksibilan pristup relacijskim bazama podataka, podacima razdvojenim poljima u datotekama s vrijednostima odvojenim zarezima (.CSV) ili drugim pohranama podataka poduzeća kao što su Hadoop ili NoSQL.
  • Podržava širok raspon slučajeva korištenja upravljanja zapisnicima i još mnogo toga.

U ovom ćemo članku pokazati kako instalirati najnoviju verziju Splunk analizatora dnevnika i kako dodati datoteku dnevnika (izvor podataka) i pretraživati kroz nju događaje u CentOS 7 (radi i na RHEL distribuciji).

Preporučeni sistemski zahtjevi:

  1. CentOS 7 poslužitelj ili RHEL 7 poslužitelj s minimalnom instalacijom.
  2. Minimalno 12 GB RAM-a

Testno okruženje:

  1. Linode VPS s CentOS 7 minimalnom instalacijom.

Instalirajte Splunk Log Analyzer za praćenje zapisa CentOS 7

1. Idite na web mjesto splunk, kreirajte račun i preuzmite najnoviju dostupnu verziju za svoj sustav sa stranice za preuzimanje Splunk Enterprise. RPM paketi dostupni su za Red Hat, CentOS i slične verzije Linuxa.

Alternativno, možete ga preuzeti izravno putem web-preglednika ili dobiti vezu za preuzimanje i koristiti wget commandv za preuzimanje paketa putem naredbenog retka kao što je prikazano.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Nakon što preuzmete paket, instalirajte Splunk Enterprise RPM u zadani direktorij /opt/splunk koristeći RPM upravitelj paketa kao što je prikazano .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Zatim upotrijebite Splunk Enterprise sučelje naredbenog retka (CLI) za pokretanje usluge.

/opt/splunk/bin/./splunk start

Pročitajte SLICENCNI UGOVOR ZA SOFTVER S PLUNK pritiskom na Enter. Nakon što je završite s čitanjem, bit ćete upitani Slažete li se s ovom licencom? Unesite Y za nastavak.

Do you agree with this license? [y/n]: y

Zatim izradite vjerodajnice za administratorski račun, vaša zaporka mora sadržavati najmanje 8 ukupno ispisljivih ASCII znakova.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Ako su sve instalirane datoteke netaknute i sve preliminarne provjere su prošle, pokrenut će se demon poslužitelja splunk (splunkd), generirati će se 2048-bitni RSA privatni ključ i vi može pristupiti splunk web sučelju.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Zatim otvorite port 8000 koji Splunk poslužitelj sluša, u vašem vatrozidu koristeći firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Otvorite web preglednik i upišite sljedeći URL za pristup splunk web sučelju.

http://SERVER_IP:8000

Za prijavu koristite Korisničko ime: admin i lozinku koju ste kreirali tijekom procesa instalacije.

7. Nakon uspješne prijave, sletjet ćete na splunk administratorsku konzolu prikazanu na sljedećoj snimci zaslona. Za nadzor datoteke dnevnika, na primjer /var/log/secure, kliknite na Dodaj podatke.

8. Zatim kliknite na Monitor za dodavanje podataka iz datoteke.

9. Na sljedećem sučelju odaberite Datoteke i direktoriji.

10. Zatim postavite instancu za praćenje podataka u datotekama i direktorijima. Za nadgledanje svih objekata u imeniku odaberite imenik. Za praćenje jedne datoteke odaberite je. Kliknite Pregledaj za odabir izvora podataka.

11. Prikazat će vam se popis direktorija u vašem root(/) direktoriju, idite do datoteke dnevnika koju želite nadzirati (/var/log /secure) i kliknite Odaberi.

12. Nakon odabira izvora podataka, odaberite Kontinuirano nadgledaj da biste gledali tu datoteku dnevnika i kliknite na Dalje da postavite vrstu izvora.

13. Zatim postavite vrstu izvora za svoj izvor podataka. Za našu testnu datoteku dnevnika (/var/log/secure), moramo odabrati Operativni sustav→linux_secure; to splunk-u daje do znanja da datoteka sadrži sigurnosne poruke iz sustava Linux. Zatim kliknite Dalje za nastavak.

14. Po želji možete postaviti dodatne ulazne parametre za ovaj unos podataka. U odjeljku Kontekst aplikacije odaberite Pretraživanje i izvješćivanje. Zatim kliknite Pregled. Nakon pregleda kliknite Pošalji.

15. Sada je vaš unos datoteke uspješno kreiran. Kliknite na Pokreni pretraživanje za pretraživanje podataka.

16. Za pregled svih vaših unosa podataka idite na Postavke→Podaci→Unosi podataka. Zatim kliknite na vrstu koju želite vidjeti, na primjer Datoteke i direktoriji.

17. Sljedeće su dodatne naredbe za upravljanje (ponovno pokretanje ili zaustavljanje) splunk demona.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Od sada možete dodati više izvora podataka (lokalnih ili udaljenih koristeći Splunk Forwarder), istraživati svoje podatke i/ili instalirati Splunk aplikacije za poboljšanje njegove zadane funkcionalnosti. Možete učiniti više čitanjem splunk dokumentacije koja se nalazi na službenoj web stranici.

Početna stranica Splunka: https://www.splunk.com/

To je to za sada! Splunk je snažan, robustan i potpuno integriran softver za upravljanje poslovnim zapisnicima u stvarnom vremenu. U ovom smo članku pokazali kako instalirati najnoviju verziju analizatora dnevnika Splunk na CentOS 7. Ako imate bilo kakvih pitanja ili ideja za podijeliti, upotrijebite obrazac za komentare u nastavku da nas kontaktirate.