Kako instalirati Splunk Log Analyzer na CentOS 7

Splunk je moćan, robustan i potpuno integriran softver za upravljanje evidencijama poduzeća u stvarnom vremenu za prikupljanje, pohranjivanje, pretraživanje, dijagnosticiranje i izvještavanje o svim podacima iz evidencije i strojno generiranih podataka, uključujući strukturirane, nestrukturirane i složene višelinijski zapisnici aplikacija.

Omogućava vam da brzo i na ponovljiv način prikupljate, pohranjujete, indeksirate, pretražujete, korelirate, vizualizirate, analizirate i izvještavate o bilo kojim podacima iz dnevnika ili generiranim podacima, kako biste identificirali i riješili operativne i sigurnosne probleme.

Osim toga, splunk podržava širok spektar slučajeva korištenja upravljanja dnevnikom kao što su konsolidacija i zadržavanje dnevnika, sigurnost, rješavanje problema u IT operacijama, rješavanje problema sa aplikacijama, kao i izvještavanje o usklađenosti i još mnogo toga.

Splunk karakteristike:

  • Lako je skalabilan i potpuno integriran.
  • Podržava i lokalne i udaljene izvore podataka.
  • Omogućava indeksiranje mašinskih podataka.
  • Podržava pretraživanje i korelaciju svih podataka.
  • Omogućava vam da analizirate podatke prema dolje i gore i okrenete se.
  • Podržava praćenje i upozorenje.
  • Također podržava izvještaje i kontrolne table za vizualizaciju.
  • Pruža fleksibilan pristup relacionim bazama podataka, podacima razdvojenim poljima u datotekama sa vrijednostima razdvojenim zarezima (.CSV) ili drugim poslovnim skladištima podataka kao što su Hadoop ili NoSQL.
  • Podržava širok raspon slučajeva korištenja upravljanja dnevnikom i još mnogo toga.

U ovom članku ćemo pokazati kako instalirati najnoviju verziju Splunk analizatora dnevnika i kako dodati log datoteku (izvor podataka) i pretraživati kroz nju za događaje u CentOS 7 > (također radi na RHEL distribuciji).

Preporučeni sistemski zahtjevi:

  1. CentOS 7 server ili RHEL 7 server sa minimalnom instalacijom.
  2. Minimalno 12 GB RAM-a

Testno okruženje:

  1. Linode VPS sa CentOS 7 minimalnom instalacijom.

Instalirajte Splunk Log Analyzer za praćenje dnevnika CentOS 7

1. Idite na splunk web stranicu, kreirajte račun i uzmite najnoviju dostupnu verziju za vaš sistem sa stranice za preuzimanje Splunk Enterprise. RPM paketi su dostupni za Red Hat, CentOS i slične verzije Linuxa.

Alternativno, možete ga preuzeti direktno preko web pretraživača ili dobiti vezu za preuzimanje i koristiti wget commandv da preuzmete paket putem komandne linije kao što je prikazano.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Nakon što preuzmete paket, instalirajte Splunk Enterprise RPM u zadani direktorij /opt/splunk koristeći RPM menadžer paketa kao što je prikazano .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Zatim koristite Splunk Enterprise interfejs komandne linije (CLI) da pokrenete uslugu.

/opt/splunk/bin/./splunk start

Pročitajte UGOVOR O LICENCI ZA SPLUNK SOFTVER pritiskom na Enter. Kada završite sa čitanjem, bićete upitani Da li se slažete sa ovom licencom? Unesite Y da nastavite.

Do you agree with this license? [y/n]: y

Zatim kreirajte vjerodajnice za administratorski račun, vaša lozinka mora sadržavati najmanje 8 ASCII znakova za štampanje.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Ako su sve instalirane datoteke netaknute i sve preliminarne provjere su prošle, pokrenut će se demon servera splunk (splunkd), generirat će se 2048-bitni RSA privatni ključ i vi može pristupiti splunk web interfejsu.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Zatim otvorite port 8000 na kojem Splunk server sluša, u vašem firewall-u koristeći firewall-cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Otvorite web pretraživač i unesite sljedeći URL za pristup splunk web interfejsu.

http://SERVER_IP:8000

Za prijavu koristite Korisničko ime: admin i lozinku koju ste kreirali tokom procesa instalacije.

7. Nakon uspješne prijave, sletjet ćete na splunk administratorsku konzolu prikazanu na sljedećem snimku ekrana. Za praćenje datoteke dnevnika, na primjer /var/log/secure, kliknite na Dodaj podatke.

8. Zatim kliknite na Monitor da dodate podatke iz datoteke.

9. U sljedećem interfejsu odaberite Datoteke i direktoriji.

10. Zatim postavite instancu da nadgleda datoteke i direktorije za podatke. Za praćenje svih objekata u direktoriju, odaberite direktorij. Da nadgledate jednu datoteku, odaberite je. Kliknite na Pregledaj da odaberete izvor podataka.

11. Biće vam prikazana lista direktorijuma u vašem root(/) direktorijumu, idite do datoteke evidencije koju želite da nadgledate (/var/log /secure) i kliknite na Odaberi.

12. Nakon odabira izvora podataka, odaberite Kontinuirano nadgledanje da gledate tu datoteku evidencije i kliknite na Dalje da postavite tip izvora.

13. Zatim postavite vrstu izvora za svoj izvor podataka. Za naš test log fajl (/var/log/secure), moramo odabrati Operativni sistem→linux_secure; ovo splunk daje do znanja da datoteka sadrži sigurnosne poruke iz Linux sistema. Zatim kliknite Dalje da nastavite.

14. Opciono možete postaviti dodatne ulazne parametre za ovaj unos podataka. U okviru Kontekst aplikacije odaberite Pretraga i izvještavanje. Zatim kliknite na Pregled. Nakon pregleda, kliknite na Pošalji.

15. Sada je vaš unos datoteke uspješno kreiran. Kliknite na Počni pretraživanje da pretražite svoje podatke.

16. Da vidite sve svoje unose podataka, idite na Postavke→Podaci→Unosi podataka. Zatim kliknite na tip koji želite da vidite, na primjer Files & Directories.

17. Sljedeće su dodatne komande za upravljanje (ponovno pokretanje ili zaustavljanje) splunk demona.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Od sada, možete dodati više izvora podataka (lokalnih ili udaljenih koristeći Splunk Forwarder), istraživati svoje podatke i/ili instalirati Splunk aplikacije za poboljšanje njegove zadane funkcionalnosti. Možete učiniti više čitajući splunk dokumentaciju na službenoj web stranici.

Splunk početna stranica: https://www.splunk.com/

To je to za sada! Splunk je moćan, robustan i potpuno integrisan softver za upravljanje evidencijama preduzeća u realnom vremenu. U ovom članku smo pokazali kako da instalirate najnoviju verziju Splunk log analizatora na CentOS 7. Ako imate bilo kakvih pitanja ili razmišljanja za podijeliti, koristite formular za komentare ispod da nas kontaktirate.