Splunk és un programari potent, robust i totalment integrat per a la gestió de registres empresarials en temps real per recopilar, emmagatzemar, buscar, diagnosticar i registrar qualsevol registre i dades generades per màquines, incloses línies múltiples estructurades, no estructurades i complexes. registres d’aplicacions.
Us permet recopilar, emmagatzemar, indexar, cercar, correlacionar, visualitzar, analitzar i informar sobre qualsevol dada de registre o dades generades per una màquina de forma ràpida i repetitiva, per identificar i resoldre problemes operatius i de seguretat.
A més, Splunk admet una àmplia gamma de casos d’ús d’administració de registres, com la consolidació i retenció de registres, la seguretat, la resolució de problemes d’operacions de TI, la resolució de problemes d’aplicacions, l’informe de compliment i molt més.
- It ‘s easily scalable and fully integrated.
- Supports both local and remote data sources.
- Allows for indexing machine data.
- Supports searching and correlating any data.
- Allows you to drill down and up and pivot across data.
- Supports monitoring and alerting.
- Also supports reports and dashboards for visualization.
- Provides flexible access to rel ational databases, field delimited data in comma-separated value (.CSV) files or to other enterprise data stores such as Hadoop or NoSQL.
- Supports a wide range of log management usi cases and much more.
en aquest article, mostrarem com instal·lar l’última versió de l’analitzador de registres Splunk i com afegir un arxiu de registre (font de dades) i buscar-hi esdeveniments en CentOS 7 strong > (també funciona en la distribució de RHEL).
- a CentOS 7 Server or RHEL 7 Server with Minimal Install.
- Minimum 12GB RAM
- Linode VPS with CentOS 7 minimal install.
Instal Splunk Log Analyzer per supervisar els registres de CentOS 7
1. Aneu a la pàgina web de Splunk, creu un compte i obtingui l’última versió disponible per al seu sistema des de la pàgina de descàrregues de Splunk Enterprise. Els paquets RPM estan disponibles per a Red Hat, CentOS i versions similars de Linux.
Alternativament, pot descarregar directament a través de el navegador web o obtenir l’enllaç de descàrrega, i usar wget commandv per prendre el paquet a través de la línia d’ordres com es mostra.
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. Un cop hagueu descarregat el paquet, instal Splunk Enterprise RPM en el directori predeterminat / opt / Splunk usant l’administrador de paquets RPM com es mostra.
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpmwarning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEYuseradd: cannot create directory /opt/splunkcomplete
3. A continuació, utilitzeu la Splunk Enterprise interfície de línia d’ordres (CLI) per iniciar el servei .
# /opt/splunk/bin/./splunk start
Llegiu l’aCORD dE lLICÈNCIA dEL PROGRAMARI dE PLUSA pressionant Entrada Una vegada que hagi acabat de llegir-lo, se us demanarà Està d’acord amb aquesta llicència? Introduïu Y per continuar.
Do you agree with this license? :
Després creu credencials per al compte de l’administrador, la contrasenya ha de contenir al menys 8 caràcters ASCII imprimibles en total.
Create credentials for the administrator account.Characters do not appear on the screen when you type the password.Password must contain at least: * 8 total printable ASCII character(s).Please enter a new password: Please confirm new password:
4. Si tots els arxius instal·lats estan intactes i totes les revisions preliminars es van aprovar, s’iniciarà el dimoni de servidor Splunk (splunkd), es generarà una clau privada RSA de 2048 bits Pot ser capaç d’accedir a la interfície web Splunk.
All preliminary checks passed.Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key......................+++.....+++writing new private key to 'privKeySecure.pem'-----Signature oksubject=/CN=tecmint/O=SplunkUserGetting CA Private Keywriting RSA keyDone Waiting for web server at http://127.0.0.1:8000 to be available............. DoneIf you get stuck, we're here to help. Look for answers here: http://docs.splunk.comThe Splunk web interface is at http://tecmint:8000
5. a continuació, obriu el port 8000 en el qual el servidor Splunk escolta, si tallafocs utilitzant el tallafocs-cmd.
# firewall-cmd --add-port=8000/tcp --permanent# firewall-cmd --reload
6. Obriu un navegador web i escriviu la següent URL per accedir a la interfície web dividida.
http://SERVER_IP:8000
Per iniciar sessió, utilitzeu el nom d’usuari: admin i la contrasenya que va crear durant el procés d’instal·lació.
7. Després d’un inici de sessió reeixit, aterrizarás a la consola d’administració Splunk que es mostra en la següent captura de pantalla. Per a monitoritzar un arxiu de registre, per exemple /var/log/secure , feu clic a Afegeix dades.
8. Després feu clic a Monitor per afegir fitxers d’un arxiu.
9. en la següent interfície, seleccioneu Arxius & amp; Directoris.
10. Després, configurar la instància per supervisar els arxius i directoris a la recerca de dades. Per a monitoritzar tots els objectes en un directori, seleccioneu el directori. Per a monitoritzar un sol arxiu, seleccioneu-lo. Feu clic a Navega per seleccionar la font de dades.
11.Se li mostrarà una llista de directoris en el seu directori root (/) , navegui fins a l’arxiu de registre que desitja monitoritzar (/ var / log / segur) i feu clic a Selecciona.
12. Després de seleccionar la font de dades, seleccioneu Supervisar contínuament per veure aquest arxiu de registre i feu clic a següent per establir el tipus de font.
13. A continuació, configureu el tipus de font per a la seva font de dades. Per al nostre arxiu de registre de prova (/ var/log/secure) , hem de seleccionar Operating System → linux_secure; això li permet a Splunk saber que l’arxiu conté missatges relacionats amb la seguretat d’un sistema Linux. Després feu clic a Següent per continuar.
14. També pot configurar paràmetres d’entrada addicionals per a aquesta entrada de dades. En Context de l’aplicació, seleccioneu Cerca & amp; Informes. Després feu clic a Revisar. Després de revisar, feu clic a Envia.
15. Ara el seu fitxer d’entrada s’ha creat correctament. Feu clic a Inicia la cerca per buscar les seves dades.
16. Per veure totes les entrades de dades , aneu a Configuració → dades → Entrades de dades. Després, feu clic en el tipus que desitja veure, per exemple, Arxius & amp; Directoris.
17. Els següents són ordres addicionals per administrar (reiniciar o aturar) el dimoni Splunk .
# /opt/splunk/bin/./splunk restart# /opt/splunk/bin/./splunk stop
d’ara endavant, pot afegir més fonts de dades (locals o remots usant Splunk Forwarded), explorar les seves dades i / o instal·lar aplicacions Splunk per millorar la seva funcionalitat per defecte. Pot fer més a l’llegir la documentació dividida que està disponible al lloc web oficial.
Pàgina principal de Splunk: https://www.splunk.com/
això és tot per ara! Splunk és un programari de gestió de registre empresarial en temps real, potent, robust i totalment integrat. En aquest article, vam mostrar com instal·lar l’última versió de l’analitzador de registres Splunk en CentOS 7. Si té preguntes o pensaments per compartir, utilitzeu el formulari de comentaris a continuació per comunicar-se amb nosaltres.