Kā instalēt Splunk Log Analyzer vietnē CentOS 7

Splunk ir spēcīga, izturīga un pilnībā integrēta programmatūra reāllaika uzņēmuma žurnālu pārvaldībai, lai apkopotu, uzglabātu, meklētu, diagnosticētu un ziņotu par visiem žurnālu un mašīnu ģenerētajiem datiem, ieskaitot strukturētus, nestrukturētus un sarežģītus daudzrindu lietojumprogrammu žurnālus.

Tas ļauj ātri un atkārtoti apkopot, uzglabāt, indeksēt, meklēt, korelēt, vizualizēt, analizēt un ziņot par visiem žurnāla datiem vai mašīnā ģenerētiem datiem, lai identificētu un atrisinātu darbības un drošības problēmas.

Turklāt splunk atbalsta plašu žurnālu pārvaldības izmantošanas gadījumu klāstu, piemēram, žurnālu apvienošanu un saglabāšanu, drošību, IT darbību problēmu novēršanu, lietojumprogrammu problēmu novēršanu, kā arī atbilstības ziņošanu un daudz ko citu.

  • Tas ir viegli pielāgojams un pilnībā integrējams.
  • Atbalsta gan vietējos, gan attālos datu avotus.
  • Ļauj indeksēt mašīnu datus.
  • Atbalsta visu datu meklēšanu un korelēšanu.
  • ļauj detalizēti un detalizēti izpētīt datus.
  • Atbalsta uzraudzību un brīdināšanu.
  • Vizualizēšanai atbalsta arī pārskatus un informācijas paneļus.
  • Nodrošina elastīgu piekļuvi relāciju datu bāzēm, ar laukiem norobežotiem datiem komatatdalītu vērtību (.CSV) failos vai citiem uzņēmuma datu krātuvēm, piemēram, Hadoop vai NoSQL.
  • Atbalsta plašu žurnālu pārvaldības lietojumu klāstu un daudz ko citu.

Šajā rakstā mēs parādīsim, kā instalēt jaunāko Splunk žurnāla analizatora versiju un kā pievienot žurnāla failu (datu avotu) un meklēt tajā notikumus CentOS 7 (darbojas arī ar RHEL izplatīšanu).

  1. RHEL 7 serveris ar minimālu instalēšanu.
  2. Vismaz 12 GB RAM

  1. Linode VPS ar CentOS 7 minimālu instalēšanu.

Instalējiet Splunk Log Analyzer Monitor CentOS 7 žurnālos

1. Atveriet Splunk vietni, izveidojiet kontu un no Splunk Enterprise lejupielādes lapas paņemiet jaunāko pieejamo versiju savai sistēmai. RPM pakotnes ir pieejamas Red Hat, CentOS un līdzīgām Linux versijām.

Alternatīvi, jūs varat to lejupielādēt tieši, izmantojot tīmekļa pārlūkprogrammu, vai iegūt lejupielādes saiti un izmantot wget commandv, lai paņemtu pakotni, izmantojot komandrindu, kā parādīts.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Kad esat lejupielādējis pakotni, instalējiet Splunk Enterprise RPM noklusējuma direktorijā/opt/splunk, izmantojot RPM pakotņu pārvaldnieku, kā parādīts.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Pēc tam izmantojiet Splunk Enterprise komandrindas saskarni (CLI), lai sāktu pakalpojumu.

# /opt/splunk/bin/./splunk start

Izlasiet SPLUNK PROGRAMMATŪRAS LICENCES LĪGUMU, nospiežot Enter. Kad būsiet to pabeidzis, jums tiks vaicāts, vai piekrītat šai licencei? Lai turpinātu, ievadiet Y .

Do you agree with this license? [y/n]: y

Pēc tam izveidojiet akreditācijas datus administratora kontam, jūsu parolē jābūt vismaz 8 kopīgām (-ām) izdrukājamām (-ām) ASCII rakstzīmēm.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Ja visi instalētie faili ir neskarti un visas sākotnējās pārbaudes ir izturētas, tiks sākta splunk servera dēmona (splunkd) darbība, tiks ģenerēta 2048 bitu RSA privātā atslēga un jūs varēsit piekļūt splunk tīmekļa saskarnei.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Pēc tam ugunsmūrī atveriet portu 8000, kuru klausās Splunk serveris, izmantojot ugunsmūri cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Atveriet tīmekļa pārlūkprogrammu un ierakstiet šādu URL, lai piekļūtu sadalītajai tīmekļa saskarnei.

http://SERVER_IP:8000

Lai pieteiktos, izmantojiet Lietotājvārds: admin un instalēšanas laikā izveidoto paroli.

7. Pēc veiksmīgas pieteikšanās jūs nokļūsit splunk administratora konsolē, kas parādīta nākamajā ekrānuzņēmumā. Lai uzraudzītu žurnālfailu, piemēram, /var/log/secure , noklikšķiniet uz Pievienot datus.

8. Pēc tam noklikšķiniet uz Monitor, lai pievienotu datus no faila.

9. Nākamajā saskarnē izvēlieties Faili un direktoriji.

10. Pēc tam iestatiet instanci, lai uzraudzītu failu un direktoriju datus. Lai uzraudzītu visus objektus direktorijā, atlasiet direktoriju. Lai uzraudzītu vienu failu, atlasiet to. Noklikšķiniet uz Pārlūkot, lai atlasītu datu avotu.

11. Jums tiks parādīts direktoriju saraksts jūsu saknes (/) direktorijā, dodieties uz žurnāla failu, kuru vēlaties uzraudzīt (/ var/log/secure), un noklikšķiniet uz Atlasīt.

12. Pēc datu avota izvēles atlasiet Continuously Monitor, lai skatītos šo žurnāla failu, un noklikšķiniet uz Next, lai iestatītu avota veidu.

13. Pēc tam iestatiet datu avota avota veidu. Mūsu testa žurnāla failam (/ var/log/secure) mums jāizvēlas Operētājsistēma → linux_secure; tas ļauj sadalīt informāciju, ka failā ir ar drošību saistīti ziņojumi no Linux sistēmas. Pēc tam noklikšķiniet uz Tālāk, lai turpinātu.

14. Pēc izvēles šai datu ievadei varat iestatīt papildu ievades parametrus. Sadaļā Lietotnes konteksts atlasiet Meklēšana un pārskati. Pēc tam noklikšķiniet uz Pārskatīt. Pēc pārskatīšanas noklikšķiniet uz Iesniegt.

15. Tagad faila ievade ir veiksmīgi izveidota. Noklikšķiniet uz Sākt meklēšanu, lai meklētu datus.

16. Lai apskatītu visas datu ievades, dodieties uz Iestatījumi → Dati → Datu ievades. Pēc tam noklikšķiniet uz veida, kuru vēlaties skatīt, piemēram, Faili un direktoriji.

17. Tālāk ir norādītas papildu komandas, lai pārvaldītu (restartētu vai apturētu) splunk dēmonu.

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Turpmāk varat pievienot vairāk datu avotu (lokālus vai attālinātus, izmantojot Splunk Forwarder), izpētīt savus datus un/vai instalēt Splunk lietotnes, lai uzlabotu tā noklusējuma funkcionalitāti. Jūs varat darīt vairāk, izlasot detalizēto dokumentāciju, kas sniegta oficiālajā vietnē.

Splunk mājas lapa: https://www.splunk.com/

Pagaidām tas ir viss! Splunk ir spēcīga, izturīga un pilnībā integrēta reāllaika uzņēmuma žurnālu pārvaldības programmatūra. Šajā rakstā mēs parādījām, kā CentOS 7 instalēt jaunāko Splunk žurnāla analizatora versiju. Ja jums ir kādi jautājumi vai domas, ar kuriem dalīties, izmantojiet zemāk esošo komentāru veidlapu, lai sazinātos ar mums.