Wyszukiwanie w witrynie

Jak zainstalować analizator logów Splunk na CentOS 7

Splunk to potężne, solidne i w pełni zintegrowane oprogramowanie do zarządzania logami korporacyjnymi w czasie rzeczywistym w celu gromadzenia, przechowywania, wyszukiwania, diagnozowania i raportowania wszelkich logów i danych generowanych maszynowo, w tym ustrukturyzowanych, nieustrukturyzowanych i złożonych wielowierszowe dzienniki aplikacji.

Umożliwia szybkie i powtarzalne zbieranie, przechowywanie, indeksowanie, wyszukiwanie, korelowanie, wizualizację, analizowanie i raportowanie dowolnych danych dziennika lub danych generowanych maszynowo, w celu identyfikowania i rozwiązywania problemów operacyjnych i bezpieczeństwa.

Ponadto splunk obsługuje szeroki zakres zastosowań zarządzania logami, takich jak konsolidacja i przechowywanie logów, bezpieczeństwo, rozwiązywanie problemów z operacjami IT, rozwiązywanie problemów z aplikacjami, a także raportowanie zgodności i wiele więcej.

Funkcje Splunk'a:

  • Jest łatwo skalowalny i w pełni zintegrowany.
  • Obsługuje zarówno lokalne, jak i zdalne źródła danych.
  • Umożliwia indeksowanie danych maszynowych.
  • Obsługuje wyszukiwanie i korelację dowolnych danych.
  • Umożliwia drążenie w dół i w górę oraz przeglądanie danych.
  • Obsługuje monitorowanie i ostrzeganie.
  • Obsługuje także raporty i dashboardy do wizualizacji.
  • Zapewnia elastyczny dostęp do relacyjnych baz danych, danych rozdzielanych polami w plikach rozdzielanych przecinkami (.CSV) lub do innych korporacyjnych magazynów danych, takich jak Hadoop lub NoSQL.
  • Obsługuje szeroką gamę przypadków użycia zarządzania logami i wiele więcej.

W tym artykule pokażemy jak zainstalować najnowszą wersję analizatora logów Splunk oraz jak dodać plik logu (źródło danych) i przeszukiwać go pod kątem zdarzeń w CentOS 7 (działa również w dystrybucji RHEL).

Zalecane wymagania systemowe:

  1. Serwer CentOS 7 lub serwer RHEL 7 z minimalną instalacją.
  2. Minimum 12 GB pamięci RAM

Środowisko testowe:

  1. Linode VPS z minimalną instalacją CentOS 7.

Zainstaluj analizator logów Splunk, aby monitorować dzienniki CentOS 7

1. Przejdź do witryny Splunk, utwórz konto i pobierz najnowszą dostępną wersję dla swojego systemu ze strony pobierania Splunk Enterprise. Pakiety RPM są dostępne dla systemów Red Hat, CentOS i podobnych wersji systemu Linux.

Alternatywnie możesz pobrać go bezpośrednio przez przeglądarkę internetową lub uzyskać łącze do pobrania i użyć polecenia wget v, aby pobrać pakiet za pomocą wiersza poleceń, jak pokazano.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Po pobraniu pakietu zainstaluj Splunk Enterprise RPM w domyślnym katalogu /opt/splunk za pomocą menedżera pakietów RPM, jak pokazano .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Następnie użyj interfejsu wiersza poleceń (CLI) Splunk Enterprise, aby uruchomić usługę.

/opt/splunk/bin/./splunk start

Przeczytaj UMOWĘ LICENCYJNĄ OPROGRAMOWANIA PLUNK, naciskając Enter. Po przeczytaniu zostaniesz zapytany Czy zgadzasz się z tą licencją? Wpisz Y, aby kontynuować.

Do you agree with this license? [y/n]: y

Następnie utwórz dane uwierzytelniające dla konta administratora. Twoje hasło musi zawierać co najmniej 8 znaków ASCII, które można wydrukować.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Jeśli wszystkie zainstalowane pliki są nienaruszone i wszystkie wstępne kontrole przeszły pomyślnie, zostanie uruchomiony demon serwera splunk (splunkd), wygenerowany zostanie 2048-bitowy klucz prywatny RSA i ty może uzyskać dostęp do interfejsu sieciowego Splunk.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Następnie otwórz w swojej zaporze port 8000, na którym nasłuchuje serwer Splunk, używając polecenia firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Otwórz przeglądarkę internetową i wpisz następujący adres URL, aby uzyskać dostęp do interfejsu internetowego Splunk.

http://SERVER_IP:8000

Aby się zalogować, użyj nazwy użytkownika: admin i hasła utworzonego podczas procesu instalacji.

7. Po pomyślnym zalogowaniu wylądujesz w konsoli administracyjnej Splunk pokazanej na poniższym zrzucie ekranu. Aby monitorować plik dziennika, na przykład /var/log/secure, kliknij Dodaj dane.

8. Następnie kliknij Monitoruj, aby dodać dane z pliku.

9. W następnym interfejsie wybierz Pliki i katalogi.

10. Następnie skonfiguruj instancję tak, aby monitorowała pliki i katalogi pod kątem danych. Aby monitorować wszystkie obiekty w katalogu, wybierz katalog. Aby monitorować pojedynczy plik, wybierz go. Kliknij Przeglądaj, aby wybrać źródło danych.

11. Zostanie wyświetlona lista katalogów w Twoim katalogu root(/). Przejdź do pliku dziennika, który chcesz monitorować (/var/log /secure) i kliknij Wybierz.

12. Po wybraniu źródła danych wybierz Ciągle monitoruj, aby obejrzeć plik dziennika, i kliknij Dalej, aby ustawić typ źródła.

13. Następnie ustaw typ źródła danych. W przypadku naszego pliku dziennika testów (/var/log/secure) musimy wybrać System operacyjny →linux_secure; dzięki temu Splunk wie, że plik zawiera komunikaty związane z bezpieczeństwem z systemu Linux. Następnie kliknij Dalej, aby kontynuować.

14. Opcjonalnie możesz ustawić dodatkowe parametry wejściowe dla tego wejścia danych. W Kontekst aplikacji wybierz Wyszukiwanie i raportowanie. Następnie kliknij Przejrzyj. Po sprawdzeniu kliknij Prześlij.

15. Teraz plik wejściowy został pomyślnie utworzony. Kliknij Rozpocznij wyszukiwanie, aby przeszukać dane.

16. Aby wyświetlić wszystkie wprowadzone dane, przejdź do Ustawienia → Dane → Wprowadzane dane. Następnie kliknij typ, który chcesz wyświetlić, na przykład Pliki i katalogi.

17. Poniżej znajdują się dodatkowe polecenia służące do zarządzania (ponownego uruchamiania lub zatrzymywania) demonem Splunk.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Od teraz możesz dodawać więcej źródeł danych (lokalnych lub zdalnych za pomocą Splunk Forwarder), przeglądać swoje dane i/lub instalować aplikacje Splunk, aby ulepszyć jego domyślną funkcjonalność. Możesz zrobić więcej, czytając dokumentację splunk dostępną na oficjalnej stronie internetowej.

Strona główna Splunk: https://www.splunk.com/

To wszystko na teraz! Splunk to potężne, solidne i w pełni zintegrowane oprogramowanie do zarządzania logami korporacyjnymi w czasie rzeczywistym. W tym artykule pokazaliśmy, jak zainstalować najnowszą wersję analizatora logów Splunk na CentOS 7. Jeśli masz jakieś pytania lub przemyślenia, którymi chcesz się podzielić, skorzystaj z poniższego formularza komentarza, aby się z nami skontaktować.