Vyhledávání na webu

Jak nainstalovat Splunk Log Analyzer na CentOS 7

Splunk je výkonný, robustní a plně integrovaný software pro správu podnikových protokolů v reálném čase, který umožňuje shromažďovat, ukládat, vyhledávat, diagnostikovat a hlásit jakékoli protokoly a strojově generovaná data, včetně strukturovaných, nestrukturovaných a složitých víceřádkové aplikační protokoly.

Umožňuje vám rychle a opakovatelným způsobem shromažďovat, ukládat, indexovat, vyhledávat, korelovat, vizualizovat, analyzovat a reportovat jakákoli data protokolu nebo strojově generovaná data, abyste mohli identifikovat a vyřešit provozní a bezpečnostní problémy.

Kromě toho splunk podporuje širokou škálu případů použití správy protokolů, jako je konsolidace a uchovávání protokolů, zabezpečení, řešení problémů s IT operacemi, řešení problémů s aplikacemi, stejně jako reporting shody a mnoho dalšího.

Splunk vlastnosti:

  • Je snadno škálovatelný a plně integrovaný.
  • Podporuje místní i vzdálené zdroje dat.
  • Umožňuje indexování strojových dat.
  • Podporuje vyhledávání a korelaci jakýchkoli dat.
  • Umožňuje procházet dolů a nahoru a točit mezi daty.
  • Podporuje monitorování a upozornění.
  • Podporuje také sestavy a řídicí panely pro vizualizaci.
  • Poskytuje flexibilní přístup k relačním databázím, datům odděleným polem v souborech s hodnotami oddělenými čárkami (.CSV) nebo k jiným úložištím podnikových dat, jako je Hadoop nebo NoSQL.
  • Podporuje širokou škálu případů použití správy protokolů a mnoho dalšího.

V tomto článku si ukážeme, jak nainstalovat nejnovější verzi analyzátoru protokolů Splunk a jak přidat soubor protokolu (zdroj dat) a vyhledávat v něm události v CentOS 7 (funguje také na distribuci RHEL).

Doporučené systémové požadavky:

  1. Server CentOS 7 nebo server RHEL 7 s minimální instalací.
  2. Minimálně 12 GB RAM

Testovací prostředí:

  1. Linode VPS s minimální instalací CentOS 7.

Nainstalujte Splunk Log Analyzer k monitorování protokolů CentOS 7

1. Přejděte na webovou stránku splunk, vytvořte si účet a stáhněte si nejnovější dostupnou verzi pro váš systém ze stránky stahování Splunk Enterprise. Balíčky RPM jsou dostupné pro Red Hat, CentOS a podobné verze Linuxu.

Alternativně si jej můžete stáhnout přímo přes webový prohlížeč nebo získat odkaz ke stažení a použít wget commandv k uchopení balíčku pomocí příkazového řádku, jak je znázorněno.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Po stažení balíčku nainstalujte Splunk Enterprise RPM do výchozího adresáře /opt/splunk pomocí správce balíčků RPM, jak je znázorněno .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Dále ke spuštění služby použijte rozhraní příkazového řádku Splunk Enterprise (CLI).

/opt/splunk/bin/./splunk start

Přečtěte si SPLUNK SOFTWARE LICENČNÍ SMLOUVU stisknutím Enter. Jakmile ji přečtete, budete dotázáni Souhlasíte s touto licencí? Pokračujte zadáním Y.

Do you agree with this license? [y/n]: y

Poté vytvořte přihlašovací údaje pro účet správce, vaše heslo musí obsahovat alespoň 8 tisknutelných znaků ASCII.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Pokud jsou všechny nainstalované soubory neporušené a všechny předběžné kontroly prošly úspěšně, spustí se démon serveru splunk (splunkd), vygeneruje se 2048bitový soukromý klíč RSA a může mít přístup k splunk webovému rozhraní.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Dále otevřete port 8000, na kterém server Splunk naslouchá, ve vašem firewallu pomocí firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Otevřete webový prohlížeč a zadejte následující adresu URL, abyste získali přístup k splunk webovému rozhraní.

http://SERVER_IP:8000

Pro přihlášení použijte uživatelské jméno: admin a heslo, které jste vytvořili během procesu instalace.

7. Po úspěšném přihlášení se dostanete do odlehlé administrátorské konzole zobrazené na následujícím snímku obrazovky. Chcete-li sledovat soubor protokolu, například /var/log/secure, klikněte na Přidat data.

8. Poté klikněte na Monitor a přidejte data ze souboru.

9. V dalším rozhraní zvolte Soubory a adresáře.

10. Poté nastavte instanci pro sledování dat v souborech a adresářích. Chcete-li monitorovat všechny objekty v adresáři, vyberte adresář. Chcete-li sledovat jeden soubor, vyberte jej. Kliknutím na Procházet vyberte zdroj dat.

11. Zobrazí se vám seznam adresářů ve vašem root(/) adresáři, přejděte k souboru protokolu, který chcete monitorovat (/var/log /secure) a klikněte na Vybrat.

12. Po výběru zdroje dat vyberte možnost Nepřetržitě monitorovat a sledujte daný soubor protokolu a kliknutím na Další nastavte typ zdroje.

13. Dále nastavte typ zdroje pro váš zdroj dat. Pro náš testovací soubor protokolu (/var/log/secure) musíme vybrat Operační systém→linux_secure; to dává plunk vědět, že soubor obsahuje zprávy související se zabezpečením ze systému Linux. Poté pokračujte kliknutím na Další.

14. Pro tento vstup dat můžete volitelně nastavit další vstupní parametry. V části Kontext aplikace vyberte možnost Vyhledávání a přehledy. Poté klikněte na Zkontrolovat. Po kontrole klikněte na Odeslat.

15. Nyní byl váš soubor úspěšně vytvořen. Kliknutím na Zahájit vyhledávání vyhledáte svá data.

16. Chcete-li zobrazit všechny své datové vstupy, přejděte do Nastavení→Data→Datové vstupy. Poté klikněte na typ, který chcete zobrazit, například Soubory a adresáře.

17. Následují další příkazy pro správu (restartování nebo zastavení) spunk démona.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Od této chvíle můžete přidávat další zdroje dat (lokální nebo vzdálené pomocí Splunk Forwarder), prozkoumávat svá data a/nebo instalovat aplikace Splunk, abyste vylepšili její výchozí funkce. Více můžete udělat, když si přečtete splunk dokumentaci na oficiálních stránkách.

Domovská stránka Splunk: https://www.splunk.com/

To je prozatím vše! Splunk je výkonný, robustní a plně integrovaný software pro správu podnikových protokolů v reálném čase. V tomto článku jsme ukázali, jak nainstalovat nejnovější verzi analyzátoru protokolů Splunk na CentOS 7. Máte-li nějaké dotazy nebo myšlenky, které byste chtěli sdílet, kontaktujte nás pomocí níže uvedeného formuláře pro komentáře.