Поиск по сайту:

Как установить анализатор журналов Splunk на CentOS 7

Splunk — это мощное, надежное и полностью интегрированное программное обеспечение для управления корпоративными журналами в режиме реального времени, позволяющее собирать, хранить, искать, диагностировать и составлять отчеты о любых журналах и данных, сгенерированных компьютером, включая структурированные, неструктурированные и сложные. многострочные журналы приложений.

Он позволяет быстро и повторяемо собирать, хранить, индексировать, искать, сопоставлять, визуализировать, анализировать и составлять отчеты по любым данным журналов или машинным данным, чтобы выявлять и решать проблемы эксплуатации и безопасности.

Кроме того, splunk поддерживает широкий спектр вариантов использования управления журналами, таких как консолидация и хранение журналов, безопасность, устранение неполадок ИТ-операций, устранение неполадок приложений, а также отчетность о соответствии требованиям и многое другое.

Возможности Splunk:

  • Он легко масштабируется и полностью интегрируется.
  • Поддерживает как локальные, так и удаленные источники данных.
  • Позволяет индексировать машинные данные.
  • Поддерживает поиск и сопоставление любых данных.
  • Позволяет детализировать данные и поворачивать их вверх и вниз.
  • Поддерживает мониторинг и оповещение.
  • Также поддерживаются отчеты и информационные панели для визуализации.
  • Обеспечивает гибкий доступ к реляционным базам данных, данным с разделителями полей в файлах со значениями, разделенными запятыми (.CSV), или к другим хранилищам корпоративных данных, таким как Hadoop или NoSQL.
  • Поддерживает широкий спектр вариантов использования управления журналами и многое другое.

В этой статье мы покажем, как установить последнюю версию анализатора журналов Splunk, а также как добавить файл журнала (источник данных) и искать в нем события в CentOS 7 . (также работает с дистрибутивом RHEL).

Рекомендованные системные требования:

  1. Сервер CentOS 7 или сервер RHEL 7 с минимальной установкой.
  2. Минимум 12 ГБ ОЗУ

Тестовая среда:

  1. Linode VPS с минимальной установкой CentOS 7.

Установите анализатор журналов Splunk для мониторинга журналов CentOS 7

1. Перейдите на веб-сайт Splunk, создайте учетную запись и скачайте последнюю доступную версию для вашей системы со страницы загрузки Splunk Enterprise. Пакеты RPM доступны для Red Hat, CentOS и аналогичных версий Linux.

Кроме того, вы можете загрузить его напрямую через веб-браузер или получить ссылку для загрузки и использовать команду wget, чтобы получить пакет через командную строку, как показано.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. После загрузки пакета установите Splunk Enterprise RPM в каталог по умолчанию /opt/splunk с помощью менеджера пакетов RPM, как показано ниже. .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Затем используйте интерфейс командной строки (CLI) Splunk Enterprise, чтобы запустить службу.

/opt/splunk/bin/./splunk start

Прочтите ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ НА ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ SPLUNK, нажав Ввод. После прочтения вас спросят: Согласны ли вы с этой лицензией? Введите Y, чтобы продолжить.

Do you agree with this license? [y/n]: y

Затем создайте учетные данные для учетной записи администратора. Ваш пароль должен содержать не менее 8 печатных символов ASCII.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Если все установленные файлы не повреждены и все предварительные проверки пройдены, будет запущен демон сервера splunk (splunkd), будет сгенерирован 2048-битный закрытый ключ RSA, и вы сможете может иметь доступ к веб-интерфейсу Splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Затем откройте порт 8000, который прослушивает сервер Splunk, в брандмауэре с помощью firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Откройте веб-браузер и введите следующий URL-адрес, чтобы получить доступ к веб-интерфейсу Splunk.

http://SERVER_IP:8000

Для входа используйте имя пользователя: admin и пароль, который вы создали в процессе установки.

7. После успешного входа в систему вы попадете в консоль администратора splunk, показанную на следующем снимке экрана. Чтобы отслеживать файл журнала, например /var/log/secure, нажмите Добавить данные.

8. Затем нажмите Монитор, чтобы добавить данные из файла.

9. В следующем интерфейсе выберите Файлы и каталоги.

10. Затем настройте экземпляр для мониторинга файлов и каталогов на наличие данных. Чтобы отслеживать все объекты в каталоге, выберите каталог. Чтобы отслеживать один файл, выберите его. Нажмите Обзор, чтобы выбрать источник данных.

11. Вам будет показан список каталогов в вашем каталоге root(/). Перейдите к файлу журнала, который вы хотите отслеживать (/var/log /secure) и нажмите Выбрать.

12. После выбора источника данных выберите Постоянный мониторинг, чтобы просмотреть этот файл журнала, и нажмите Далее, чтобы установить тип источника.

13. Затем установите тип источника для вашего источника данных. Для нашего файла журнала тестирования (/var/log/secure) нам нужно выбрать Operating System→linux_secure; это позволяет splunk узнать, что файл содержит сообщения, связанные с безопасностью, из системы Linux. Затем нажмите Далее, чтобы продолжить.

14. При желании вы можете установить дополнительные входные параметры для этого ввода данных. В разделе Контекст приложения выберите Поиск и отчеты. Затем нажмите Просмотреть. После проверки нажмите Отправить.

15. Теперь входной файл успешно создан. Нажмите Начать поиск, чтобы выполнить поиск по вашим данным.

16. Чтобы просмотреть все введенные вами данные, выберите Настройки→Данные→Ввод данных. Затем выберите тип, который хотите просмотреть, например Файлы и каталоги.

17. Ниже приведены дополнительные команды для управления (перезапуском или остановкой) демона splunk.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

С этого момента вы можете добавлять дополнительные источники данных (локальные или удаленные с помощью Splunk Forwarder), исследовать свои данные и/или устанавливать приложения Splunk для улучшения его функций по умолчанию. Вы можете сделать больше, прочитав документацию по Splunk, представленную на официальном сайте.

Главная страница Splunk: https://www.splunk.com/

На этом всё! Splunk — это мощное, надежное и полностью интегрированное программное обеспечение для управления корпоративными журналами в режиме реального времени. В этой статье мы показали, как установить последнюю версию анализатора журналов Splunk на CentOS 7. Если у вас есть какие-либо вопросы или мысли, которыми вы можете поделиться, воспользуйтесь формой комментариев ниже, чтобы связаться с нами.