Splunk est un logiciel puissant, robuste et entièrement intégré pour des enregistrements commerciaux en temps réel pour collecter, stocker, rechercher, diagnostiquer et enregistrer tout enregistrement et données générées par machines, y compris des lignes multiples structurées, non structurées et complexes. Enregistrements d’application.
Vous permet de collecter, de stocker, d’indexer, de rechercher, d’analyser et de signaler tout enregistrement de données ou données généré par une machine rapidement et répétitive, pour identifier et résoudre les problèmes d’opérations et de sécurité.
En outre, Splunk prend en charge une large gamme de cas de gestion des enregistrements, tels que la consolidation et la conservation des enregistrements, la sécurité, la résolution des problèmes d’opérations informatiques, la résolution des problèmes d’application, le rapport de conformité et bien plus encore.
- Il est facilement évolutif et entièrement intégré.
- prend en charge les sources de données locales et distantes.
- alows pour indexer les données de machine.
- Prend en charge la recherche et la corrélation de toutes les données.
- vous permet d’explorer et de pivoter et de pivoter sur des données.
- prend en charge la surveillance et l’alerte.
- prend également en charge les rapports et les tableaux de bord pour la visualisation.
- fournit un accès flexible à rel Les bases de données ationnelles, les données délimitées sur le terrain dans les fichiers de valeurs séparées par des virgules (.csv) ou dans d’autres magasins de données d’entreprise tels que Hadoop ou NOSQL.
- prend en charge une large gamme de cas d’utilisation de la gestion des journaux et bien plus encore.
Dans cet article, nous montrerons comment installer la version la plus récente de Splunk Record Analyzer et comment ajouter un fichier journal (source de données) et des événements de recherche à Centos 7 Strong > (fonctionne également sur la distribution RHEL).
- un serveur Centrics 7 ou RHEL 7 serveur avec une installation minimale.
- Minimum 12GB RAM
- Linode VPS avec CENTOS 7 INSTALLATION MINIMALE.
Installez Splunk Log Analyzer pour surveiller CENTOS 7
1. Allez à Le site Web Splunk, créez un compte et obtenez la dernière version disponible pour votre système à partir de la page Splunk Enterprise Télécharger. Les paquets RPM sont disponibles pour les versions rouges, Centos et des versions similaires de Linux.
Vous pouvez également le télécharger directement via le navigateur Web ou obtenir le lien de téléchargement et utiliser Wget CommandV pour prendre le package de la ligne de commande comme indiqué.
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. Une fois que vous avez téléchargé le package, installez le répertoire Splunk Enterprise dans le répertoire par défaut / opt / splunk à l’aide de l’administrateur de paquets RPM Comme indiqué.
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpmwarning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEYuseradd: cannot create directory /opt/splunkcomplete
3. Suivant, utilisez l’interface de ligne de commande Splunk Enterprise (CLI) pour démarrer le service.
# /opt/splunk/bin/./splunk start
Lisez le contrat de licence du logiciel Plusa en appuyant sur Entrée une fois que vous avez fini de lire, vous serez posé, êtes-vous d’accord avec cette licence? Entrez Y
pour continuer.
Do you agree with this license? :
puis crée des informations d’identification pour le compte administrateur, votre mot de passe doit contenir au moins 8 Caractères ASCII imprimables au total.
Create credentials for the administrator account.Characters do not appear on the screen when you type the password.Password must contain at least: * 8 total printable ASCII character(s).Please enter a new password: Please confirm new password:
4. Si tous les fichiers installés sont intacts et que toutes les révisions préliminaires ont été approuvées, le démon Splunk Server Start (Splunkd), Une clé privée RSA de 2048 bits peut être générée peut être en mesure d’accéder à l’interface Web splunk.
All preliminary checks passed.Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key......................+++.....+++writing new private key to 'privKeySecure.pem'-----Signature oksubject=/CN=tecmint/O=SplunkUserGetting CA Private Keywriting RSA keyDone Waiting for web server at http://127.0.0.1:8000 to be available............. DoneIf you get stuck, we're here to help. Look for answers here: http://docs.splunk.comThe Splunk web interface is at http://tecmint:8000
5. Suivant, ouvrez le port 8000 dans lequel le port Splunk Server écoute, dans votre pare-feu à l’aide du pare-feu-cmd.
# firewall-cmd --add-port=8000/tcp --permanent# firewall-cmd --reload
6. Ouvrez un navigateur Web et tapez l’URL suivante pour accéder à l’interface Web divisée.
http://SERVER_IP:8000
Pour vous connecter, utilisez le nom d’utilisateur: admin et le mot de passe que vous avez créé lors du processus d’installation.
7. Après un Connexion réussie, vous allez atterrir sur la console d’administration Splunk affichée dans la prochaine capture d’écran. Pour surveiller un fichier journal, par exemple /var/log/secure
, cliquez sur Ajouter des données.
8. Cliquez ensuite sur le moniteur Pour ajouter des données d’un fichier.
9. Dans l’interface suivante, sélectionnez Fichiers & amp; Répertoires.
10. Définissez ensuite l’instance pour surveiller les fichiers et les répertoires des données. Pour surveiller tous les objets d’un répertoire, sélectionnez le répertoire. Pour surveiller un seul fichier, sélectionnez-le. Cliquez sur Parcourir pour sélectionner la source de données.
11.Vous serez affiché une liste de répertoires de votre répertoire root (/)
, naviguez jusqu’au fichier journal que vous souhaitez surveiller (/ var / journal / sécurisé) et cliquez sur Sélectionner.
12. Après avoir sélectionné la source de données, sélectionnez Continuement surveiller pour afficher ce fichier journal et cliquer sur Suivant pour définir la source Tapez.
13. Ensuite, configurez le type source de votre source de données. Pour notre fichier journal de test (/ var/log/secure)
, nous devons sélectionner le système d’exploitation → Linux_secure; Cela permet à Splunk de savoir que le fichier contient des messages liés à la sécurité d’un système Linux. Cliquez ensuite sur Suivant pour continuer.
14. Vous pouvez également configurer des paramètres d’entrée supplémentaires pour cette saisie de données. Dans le contexte de l’application, sélectionnez la recherche & amp; Rapports . Cliquez ensuite sur l’examen. Après avoir examiné, cliquez sur Envoyer.
15. Votre entrée de fichier a été créée correctement. Cliquez sur Démarrer la recherche pour rechercher vos données.
16. Pour voir toutes les entrées de données, allez Paramètres → Données → Entrées de données. Ensuite, cliquez sur le type que vous souhaitez voir, par exemple, les fichiers & amp; Répertoires.
17. Les commandes supplémentaires sont des commandes supplémentaires à gérer (redémarrer ou arrêter) le diable splunk .
# /opt/splunk/bin/./splunk restart# /opt/splunk/bin/./splunk stop
À partir de maintenant, vous pouvez ajouter plus de sources de données (locales ou distantes à l’aide de Forward Splunk), explorez vos données et / ou installer des applications Splunk pour améliorer votre fonctionnalité par défaut. Vous pouvez faire plus lors de la lecture de la documentation divisée fournie sur le site officiel.
Start-up Splunk:
C’est tout pour l’instant! Splunk est un logiciel de gestion d’enregistrement commercial en temps réel, puissant, robuste et totalement intégré. Dans cet article, nous montrons comment installer la dernière version de Splunk Record Analyzer à Centos 7. Si vous avez des questions ou des pensées à partager, utilisez le formulaire de commentaires ci-dessous pour communiquer avec nous.