Splunk é un programa poderoso, robusto e totalmente integrado para rexistros de negocios en tempo real para recoller, almacenar, buscar, diagnosticar e rexistrar calquera rexistro e datos xerados por Máquinas, incluíndo liñas estruturadas, non estruturadas e complexas. Rexistros de aplicacións.
Permítelle recoller, almacenar, indexar, buscar, correlacionar, ver, analizar e informar calquera rexistro de datos ou datos xerados por unha máquina de xeito rápido e repetitivo, identificar e resolver problemas de operacións e seguridade.
Ademais, Splunk soporta unha ampla gama de casos de xestión de rexistro, como a consolidación e retención de rexistros, seguridade, resolución de problemas de operacións de TI, resolución de problemas de aplicación, o informe de cumprimento e moito máis.
- é fácilmente escalable e totalmente integrado.
- soporta fontes de datos locais e remotas.
- Alows para indexar datos da máquina.
- Admite a busca e correlación de datos.
- permítelle perforar e subir e pivotar os datos.
- soporta monitorizar e alertar.
- Tamén soporta informes e paneis para a visualización.
- ofrece acceso flexible para rel Bases de datos de ATIONAL, datos delimitados no campo en arquivos de valor separado por comas (.csv) ou a outras tendas de datos de empresas como Hadoop ou nosql
- soporta a gran variedade de casos de uso de rexistro e moito máis.
Neste artigo, mostraremos como instalar a última versión do Splunk Record Analyzer e como engadir un ficheiro de rexistro (fonte de datos) e buscar eventos en CentOS 7 forte > (tamén funciona na distribución de RHEL).
- Un servidor de 7 CENTRICS ou servidor RHEL 7 con mínima instalación.
- RAM mínima de 12GB
- Linode VPS con CentOS 7 Minimal Install.
Instalar o analizador de rexistro Splunk para monitorear CentOS 7
1. Ir a O sitio web Splunk, crea unha conta e obtén a última versión dispoñible para o teu sistema desde a páxina de descarga da empresa Splunk. Os paquetes de RPM están dispoñibles para Red Hat, CentOS e versións similares de Linux.
Alternativamente, pode descargalo directamente a través do navegador web ou obter a ligazón de descarga e usar Wet Commandv para tomar o paquete a través do Liña de comandos como se mostra.
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. Unha vez que descargou o paquete, instale Splunk Enterprise RPM no directorio por defecto / opt / splunk usando o administrador de paquetes de RPM Como se mostra.
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpmwarning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEYuseradd: cannot create directory /opt/splunkcomplete
3. A continuación, use a interface de liña de comandos Splunk Enterprise (CLI) para iniciar o servizo.
# /opt/splunk/bin/./splunk start
Ler o Acordo de licenza do software de Plusa premendo Intro unha vez que termine de ler, preguntaráselle, ¿concordas con esta licenza? Introduza Y
para continuar.
Do you agree with this license? :
A continuación, cree credenciais para a conta de administrador, o seu contrasinal debe conter polo menos 8 Caracteres imprimibles ASCII en total.
Create credentials for the administrator account.Characters do not appear on the screen when you type the password.Password must contain at least: * 8 total printable ASCII character(s).Please enter a new password: Please confirm new password:
4. Se todos os ficheiros instalados están intactos e todas as revisións preliminares foron aprobadas, o Splunk Server Demon comezará (Splunkd), Pódese xerar unha chave privada RSA de 2048 bits pode ser capaz de acceder á interface web Splunk.
All preliminary checks passed.Starting splunk server daemon (splunkd)... Generating a 2048 bit RSA private key......................+++.....+++writing new private key to 'privKeySecure.pem'-----Signature oksubject=/CN=tecmint/O=SplunkUserGetting CA Private Keywriting RSA keyDone Waiting for web server at http://127.0.0.1:8000 to be available............. DoneIf you get stuck, we're here to help. Look for answers here: http://docs.splunk.comThe Splunk web interface is at http://tecmint:8000
5. Seguinte, abra o porto 8000 no que o Splunk Server escoita, no seu firewall usando o firewall-cmd.
# firewall-cmd --add-port=8000/tcp --permanent# firewall-cmd --reload
6. Abra un navegador web e escriba a seguinte URL para acceder á interface web dividida.
http://SERVER_IP:8000
Para iniciar sesión, use o nome de usuario: administrador e contrasinal que creou durante o proceso de instalación.
7. Despois dun Iniciar sesión con éxito, aterrarás na consola de administración Splunk mostrada na seguinte captura de pantalla. Para controlar un ficheiro de rexistro, por exemplo /var/log/secure
, faga clic en Engadir datos.
8. A continuación, faga clic en Monitor Para engadir datos dun ficheiro.
9. Na seguinte interface, seleccione ficheiros & amp; Directorios.
10. Entón, configure a instancia para controlar os ficheiros e directorios para datos. Para supervisar todos os obxectos dun directorio, seleccione o directorio. Para supervisar un único ficheiro, seleccione-lo. Faga clic en Buscar para seleccionar a fonte de datos.
11.Aparecerás unha lista de directorio no teu directorio root (/)
, navega ata o ficheiro de rexistro que desexa monitorizar (/ var / log / seguro) e prema en Seleccionar.
12. Despois de seleccionar a fonte de datos, seleccione Monitorización continua para ver ese ficheiro de rexistro e faga clic en Seguinte para configurar a fonte Tipo.
13. A continuación, configura o tipo de fonte da fonte de datos. Para o noso ficheiro de rexistro de proba (/ var/log/secure)
, debemos seleccionar o sistema operativo → Linux_secure; Isto permite que Splunk saiba que o ficheiro contén mensaxes relacionadas coa seguridade dun sistema Linux. A continuación, faga clic en Seguinte para continuar.
14. Tamén pode configurar parámetros de entrada adicionais para esta entrada de datos. No contexto da aplicación, seleccione Buscar & amp; Informes. A continuación, fai clic en revisión. Despois de revisar, faga clic en Enviar.
15. Agora a entrada de ficheiros foi creada correctamente. Faga clic en Iniciar busca para buscar os seus datos.
16. Para ver todas as entradas de datos, vai a Configuración → Datos → Entradas de datos. A continuación, faga clic no tipo que desexa ver, por exemplo, ficheiros & amp; Directorios.
IV id = “0983609898”
17. Os seguintes son comandos adicionais para xestionar (reiniciar ou parar) o Devil Splunk .
# /opt/splunk/bin/./splunk restart# /opt/splunk/bin/./splunk stop
A partir de agora, pode engadir máis fontes de datos (local ou remoto usando Splunk Torker), explorar os seus datos e / ou instalar aplicacións Splunk para mellorar A súa funcionalidade predeterminada. Podes facer máis ao ler a documentación dividida proporcionada no sitio web oficial.
Splunk Startup:
Isto é todo por agora! Splunk é un software de xestión de rexistro de rexistro en tempo real, poderoso, robusto e totalmente integrado. Neste artigo, mostramos como instalar a última versión do Splunk Record Analyzer en CentOS 7. Se ten dúbidas ou pensamentos para compartir, use o formulario de comentarios a continuación para comunicarse connosco.