Splunk è un software potente, robusto e completamente integrato per i record aziendali in tempo reale per raccogliere, archiviare, cercare, diagnosticare e registrare qualsiasi record e dati generati da Macchine, comprese le linee multiple strutturate, non strutturate e complesse. Record applicativi.
Consente di raccogliere, archiviare, indice, cercare, correlare, visualizzare, analizzare e segnalare qualsiasi record di dati o dati generati da una macchina in modo rapido e ripetitivo, per identificare e risolvere le operazioni e la sicurezza dei problemi.
Inoltre, Splunk supporta una vasta gamma di casi di gestione record, come il consolidamento e la conservazione dei record, la sicurezza, la risoluzione dei problemi operativi IT, la risoluzione dei problemi di applicazione, il rapporto di conformità e molto altro.
- È facilmente scalabile e completamente integrato.
- supporta sia origini dati locali che remoti.
- Atmosfera per indicizzazione dei dati della macchina.
- Supporta la ricerca e la correlazione di qualsiasi dato.
- consente di eseguire il drill in basso e verso l’alto e il pivot attraverso i dati.
- supporta il monitoraggio e l’avviso.
- supporta anche i report e i dashboard per la visualizzazione.
- fornisce accesso flessibile per rel Database Azionali, dati delimitati sul campo nei file di valore separati da virgola (.CSV) o ad altri negozi di dati aziendali come Hadoop o NOSQL.
- supporta la vasta gamma di casi di utilizzo di Gestione del registro e molto altro.
In questo articolo mostreremo come installare la versione più recente dell’analizzatore di record Splunk e come aggiungere un file di registro (origine dati) e cercare eventi a Centos 7 Strong > (funziona anche sulla distribuzione di Rhel).
- Un server Centrics 7 o server RHEL 7 con installazione minima.
- minimo 12 GB RAM
- LINIDE VPS con Centos 7 Installazione minima.
Installare Splunk Log Analyzer per monitorare Centos 7
1. Vai a Il sito web di Splindows, crea un account e ottieni l’ultima versione disponibile per il tuo sistema dalla pagina di download Enterprise Splunk. I pacchetti RPM sono disponibili per Red Hat, Centos e versioni simili di Linux.
In alternativa, è possibile scaricarlo direttamente tramite il browser Web o ottenere il link di download e utilizzare WGet Commandv per prendere il pacco attraverso il pacco riga di comando come mostrato.
# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. Dopo aver scaricato il pacchetto, installare Splunk Enterprise RPM nella directory predefinita / opt / spbunk utilizzando l’amministratore di pacchetti RPM Come mostrato.
# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpmwarning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEYuseradd: cannot create directory /opt/splunkcomplete
3. Successivamente, utilizzare l’interfaccia della riga di comando Enterprise Splunk (CLI) per avviare il servizio.
# /opt/splunk/bin/./splunk start
Leggi l’accordo di licenza del software PLUSA premendo INVIO dopo aver finito di leggerlo, ti verrà chiesto, sei d’accordo con questa licenza? Inserisci Y
per continuare.
Do you agree with this license? :
Quindi creare credenziali per l’account amministratore, la password deve contenere almeno 8 Caratteri ASCII stampabili in totale.
4. Se tutti i file installati sono intatti e tutte le revisioni preliminari sono state approvate, il demone del server Splunk inizierà (SPLunkD), È possibile generare una chiave privata RSA da 2048 bit potrebbe essere in grado di accedere all’interfaccia web splunk.
5. Avanti, aprire la porta 8000 in cui il Ascolta il server Splunk, nel firewall utilizzando il firewall-cmd.
# firewall-cmd --add-port=8000/tcp --permanent# firewall-cmd --reload
6. Aprire un browser Web e digitare il seguente URL per accedere all’interfaccia Web divisa.
http://SERVER_IP:8000
Per accedere, utilizzare il nome utente: admin e password creati durante il processo di installazione.
7. Dopo a Accesso di successo, atterrerai sulla console di amministrazione Splunk mostrata nella prossima screenshot. Per monitorare un file di registro, ad esempio /var/log/secure
, fare clic su Aggiungi dati.
8. Quindi fare clic su Monitor Per aggiungere dati da un file.
9. Nella seguente interfaccia, selezionare File & AMP; Directory.
10. Quindi, impostare l’istanza per monitorare i file e le directory per i dati. Per monitorare tutti gli oggetti in una directory, selezionare la directory. Per monitorare un singolo file, selezionarlo. Fare clic su Sfoglia per selezionare l’origine dati.
11.Verrà visualizzato un elenco di directory nella directory root (/)
, accedere al file di registro che si desidera monitorare (/ var / log / protetto) e fare clic su Seleziona.
12. Dopo aver selezionato l’origine dati, selezionare Continuamente monitorare per visualizzare quel file di registro e fare clic su Avanti per impostare la sorgente Digitare.
13. Quindi, configurare il tipo di origine per la tua origine dati. Per il nostro file di registro test (/ var/log/secure)
, dobbiamo selezionare il sistema operativo → linux_secure; Ciò consente a Splunk di sapere che il file contiene messaggi relativi alla sicurezza di un sistema Linux. Quindi fare clic su Avanti per continuare.
14. È inoltre possibile configurare i parametri di input aggiuntivi per questa voce di dati. Nel contesto dell’applicazione, selezionare Ricerca & amp; Rapporti . Quindi clicca sulla recensione. Dopo aver revisionato, fare clic su Invia.
15. Ora la tua voce del file è stata creata correttamente. Fai clic su Start Cerca per cercare i tuoi dati.
16. Per vedere tutte le voci di dati, vai a Impostazioni → Dati → Voci dei dati. Quindi, fare clic sul tipo che desideri vedere, ad esempio, file & AMP; Directory.
17. I seguenti sono comandi aggiuntivi da gestire (riavviare o interrompere) il diavolo splunk .
# /opt/splunk/bin/./splunk restart# /opt/splunk/bin/./splunk stop
D’ora in poi, è possibile aggiungere altre origini dati (locale o remoto utilizzando lo spezzato splunk), esplorare i tuoi dati e / o installare le applicazioni splunk per migliorare La funzionalità predefinita. Puoi fare di più quando si legge la documentazione divisa fornita sul sito ufficiale.
Splunk Avvio:
È tutto per ora! Splunk è un software di gestione della registrazione aziendale in tempo reale, potente, robusto e completamente integrato. In questo articolo, mostriamo come installare l’ultima versione dell’analizzatore di record Splunk in Centos 7. Se avete domande o pensieri da condividere, utilizzare il modulo Commenti qui sotto per comunicare con noi.