Jak zainstalować analizator logów Splunk na CentOS 7
Splunk to potężne, solidne i w pełni zintegrowane oprogramowanie do zarządzania logami korporacyjnymi w czasie rzeczywistym w celu gromadzenia, przechowywania, wyszukiwania, diagnozowania i raportowania wszelkich logów i danych generowanych maszynowo, w tym ustrukturyzowanych, nieustrukturyzowanych i złożonych wielowierszowe dzienniki aplikacji.
Umożliwia szybkie i powtarzalne zbieranie, przechowywanie, indeksowanie, wyszukiwanie, korelowanie, wizualizację, analizowanie i raportowanie dowolnych danych dziennika lub danych generowanych maszynowo, w celu identyfikowania i rozwiązywania problemów operacyjnych i bezpieczeństwa.
Ponadto splunk obsługuje szeroki zakres zastosowań zarządzania logami, takich jak konsolidacja i przechowywanie logów, bezpieczeństwo, rozwiązywanie problemów z operacjami IT, rozwiązywanie problemów z aplikacjami, a także raportowanie zgodności i wiele więcej.
Funkcje Splunk'a:
- Jest łatwo skalowalny i w pełni zintegrowany.
- Obsługuje zarówno lokalne, jak i zdalne źródła danych.
- Umożliwia indeksowanie danych maszynowych.
- Obsługuje wyszukiwanie i korelację dowolnych danych.
- Umożliwia drążenie w dół i w górę oraz przeglądanie danych.
- Obsługuje monitorowanie i ostrzeganie.
- Obsługuje także raporty i dashboardy do wizualizacji.
- Zapewnia elastyczny dostęp do relacyjnych baz danych, danych rozdzielanych polami w plikach rozdzielanych przecinkami (.CSV) lub do innych korporacyjnych magazynów danych, takich jak Hadoop lub NoSQL.
- Obsługuje szeroką gamę przypadków użycia zarządzania logami i wiele więcej.
W tym artykule pokażemy jak zainstalować najnowszą wersję analizatora logów Splunk oraz jak dodać plik logu (źródło danych) i przeszukiwać go pod kątem zdarzeń w CentOS 7 (działa również w dystrybucji RHEL).
Zalecane wymagania systemowe:
- Serwer CentOS 7 lub serwer RHEL 7 z minimalną instalacją.
- Minimum 12 GB pamięci RAM
Środowisko testowe:
- Linode VPS z minimalną instalacją CentOS 7.
Zainstaluj analizator logów Splunk, aby monitorować dzienniki CentOS 7
1. Przejdź do witryny Splunk, utwórz konto i pobierz najnowszą dostępną wersję dla swojego systemu ze strony pobierania Splunk Enterprise. Pakiety RPM są dostępne dla systemów Red Hat, CentOS i podobnych wersji systemu Linux.
Alternatywnie możesz pobrać go bezpośrednio przez przeglądarkę internetową lub uzyskać łącze do pobrania i użyć polecenia wget v, aby pobrać pakiet za pomocą wiersza poleceń, jak pokazano.
wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'
2. Po pobraniu pakietu zainstaluj Splunk Enterprise RPM w domyślnym katalogu /opt/splunk za pomocą menedżera pakietów RPM, jak pokazano .
rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm
warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete
3. Następnie użyj interfejsu wiersza poleceń (CLI) Splunk Enterprise, aby uruchomić usługę.
/opt/splunk/bin/./splunk start
Przeczytaj UMOWĘ LICENCYJNĄ OPROGRAMOWANIA PLUNK, naciskając Enter. Po przeczytaniu zostaniesz zapytany Czy zgadzasz się z tą licencją? Wpisz Y
, aby kontynuować.
Do you agree with this license? [y/n]: y
Następnie utwórz dane uwierzytelniające dla konta administratora. Twoje hasło musi zawierać co najmniej 8 znaków ASCII, które można wydrukować.
Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
* 8 total printable ASCII character(s).
Please enter a new password:
Please confirm new password:
4. Jeśli wszystkie zainstalowane pliki są nienaruszone i wszystkie wstępne kontrole przeszły pomyślnie, zostanie uruchomiony demon serwera splunk (splunkd), wygenerowany zostanie 2048-bitowy klucz prywatny RSA i ty może uzyskać dostęp do interfejsu sieciowego Splunk.
All preliminary checks passed.
Starting splunk server daemon (splunkd)...
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
[ OK ]
Waiting for web server at http://127.0.0.1:8000 to be available............. Done
If you get stuck, we're here to help.
Look for answers here: http://docs.splunk.com
The Splunk web interface is at http://tecmint:8000
5. Następnie otwórz w swojej zaporze port 8000, na którym nasłuchuje serwer Splunk, używając polecenia firewall-cmd.
firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload
6. Otwórz przeglądarkę internetową i wpisz następujący adres URL, aby uzyskać dostęp do interfejsu internetowego Splunk.
http://SERVER_IP:8000
Aby się zalogować, użyj nazwy użytkownika: admin i hasła utworzonego podczas procesu instalacji.
7. Po pomyślnym zalogowaniu wylądujesz w konsoli administracyjnej Splunk pokazanej na poniższym zrzucie ekranu. Aby monitorować plik dziennika, na przykład /var/log/secure
, kliknij Dodaj dane.
8. Następnie kliknij Monitoruj, aby dodać dane z pliku.
9. W następnym interfejsie wybierz Pliki i katalogi.
10. Następnie skonfiguruj instancję tak, aby monitorowała pliki i katalogi pod kątem danych. Aby monitorować wszystkie obiekty w katalogu, wybierz katalog. Aby monitorować pojedynczy plik, wybierz go. Kliknij Przeglądaj, aby wybrać źródło danych.
11. Zostanie wyświetlona lista katalogów w Twoim katalogu root(/)
. Przejdź do pliku dziennika, który chcesz monitorować (/var/log /secure) i kliknij Wybierz.
12. Po wybraniu źródła danych wybierz Ciągle monitoruj, aby obejrzeć plik dziennika, i kliknij Dalej, aby ustawić typ źródła.
13. Następnie ustaw typ źródła danych. W przypadku naszego pliku dziennika testów (/var/log/secure)
musimy wybrać System operacyjny →linux_secure; dzięki temu Splunk wie, że plik zawiera komunikaty związane z bezpieczeństwem z systemu Linux. Następnie kliknij Dalej, aby kontynuować.
14. Opcjonalnie możesz ustawić dodatkowe parametry wejściowe dla tego wejścia danych. W Kontekst aplikacji wybierz Wyszukiwanie i raportowanie. Następnie kliknij Przejrzyj. Po sprawdzeniu kliknij Prześlij.
15. Teraz plik wejściowy został pomyślnie utworzony. Kliknij Rozpocznij wyszukiwanie, aby przeszukać dane.
16. Aby wyświetlić wszystkie wprowadzone dane, przejdź do Ustawienia → Dane → Wprowadzane dane. Następnie kliknij typ, który chcesz wyświetlić, na przykład Pliki i katalogi.
17. Poniżej znajdują się dodatkowe polecenia służące do zarządzania (ponownego uruchamiania lub zatrzymywania) demonem Splunk.
/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop
Od teraz możesz dodawać więcej źródeł danych (lokalnych lub zdalnych za pomocą Splunk Forwarder), przeglądać swoje dane i/lub instalować aplikacje Splunk, aby ulepszyć jego domyślną funkcjonalność. Możesz zrobić więcej, czytając dokumentację splunk dostępną na oficjalnej stronie internetowej.
Strona główna Splunk: https://www.splunk.com/
To wszystko na teraz! Splunk to potężne, solidne i w pełni zintegrowane oprogramowanie do zarządzania logami korporacyjnymi w czasie rzeczywistym. W tym artykule pokazaliśmy, jak zainstalować najnowszą wersję analizatora logów Splunk na CentOS 7. Jeśli masz jakieś pytania lub przemyślenia, którymi chcesz się podzielić, skorzystaj z poniższego formularza komentarza, aby się z nami skontaktować.