Kaip įdiegti „Splunk Log Analyzer“ „CentOS 7“.

Splunk yra galinga, patikima ir visiškai integruota programinė įranga, skirta įmonės žurnalų valdymui realiuoju laiku, siekiant rinkti, saugoti, ieškoti, diagnozuoti ir pranešti apie bet kokius žurnalo ir mašinų sugeneruotus duomenis, įskaitant struktūrizuotus, nestruktūrizuotus ir sudėtingus. kelių eilučių programų žurnalai.

Tai leidžia greitai ir pakartojamu būdu rinkti, saugoti, indeksuoti, ieškoti, koreliuoti, vizualizuoti, analizuoti ir pateikti ataskaitas apie bet kokius žurnalo duomenis arba mašinos sugeneruotus duomenis, kad būtų galima nustatyti ir išspręsti veiklos ir saugos problemas.

Be to, „splunk“ palaiko daugybę žurnalų valdymo naudojimo atvejų, tokių kaip žurnalų konsolidavimas ir saugojimas, sauga, IT operacijų trikčių šalinimas, programų trikčių šalinimas, atitikties ataskaitų teikimas ir dar daugiau.

Splunk funkcijos:

  • Jis lengvai keičiamas ir visiškai integruotas.
  • Palaiko tiek vietinius, tiek nuotolinius duomenų šaltinius.
  • Leidžia indeksuoti mašinos duomenis.
  • Palaiko bet kokių duomenų paiešką ir koreliavimą.
  • Leidžia gilintis žemyn ir aukštyn bei sukti duomenis.
  • Palaiko stebėjimą ir įspėjimus.
  • Taip pat palaiko vizualizavimo ataskaitas ir prietaisų skydelius.
  • Suteikia lanksčią prieigą prie reliacinių duomenų bazių, laukais atskirtų duomenų kableliais atskirtų reikšmių (.CSV) failuose arba prie kitų įmonės duomenų saugyklų, pvz., Hadoop arba NoSQL.
  • Palaiko daugybę žurnalų valdymo naudojimo atvejų ir daug daugiau.

Šiame straipsnyje parodysime, kaip įdiegti naujausią Splunk žurnalų analizatoriaus versiją ir kaip pridėti žurnalo failą (duomenų šaltinį) ir jame ieškoti įvykių CentOS 7 > (taip pat veikia su RHEL platinimu).

Rekomenduojami sistemos reikalavimai:

  1. „CentOS 7“ serveris arba „RHEL 7“ serveris su minimaliu diegimu.
  2. Mažiausiai 12 GB RAM

Bandymo aplinka:

  1. Linode VPS su CentOS 7 minimaliu įdiegimu.

Įdiekite „Splunk Log Analyzer“, kad galėtumėte stebėti „CentOS 7“ žurnalus

1. Eikite į „Splunk“ svetainę, susikurkite paskyrą ir iš „Splunk Enterprise“ atsisiuntimo puslapio gaukite naujausią galimą savo sistemos versiją. RPM paketai yra prieinami Red Hat, CentOS ir panašioms Linux versijoms.

Arba galite atsisiųsti jį tiesiogiai naudodami žiniatinklio naršyklę arba gauti atsisiuntimo nuorodą ir naudoti wget commandv, kad paimtumėte paketą per komandinę eilutę, kaip parodyta.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Atsisiuntę paketą, įdiekite Splunk Enterprise RPM į numatytąjį katalogą /opt/splunk naudodami RPM paketo tvarkyklę, kaip parodyta .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Tada naudokite Splunk Enterprise komandinės eilutės sąsają (CLI), kad paleistumėte paslaugą.

/opt/splunk/bin/./splunk start

Perskaitykite SPLUNK PROGRAMINĖS ĮRANGOS LICENCIJOS SUTARTĮ paspausdami Enter. Baigę ją skaityti, jūsų paklaus Ar sutinkate su šia licencija? Jei norite tęsti, įveskite Y.

Do you agree with this license? [y/n]: y

Tada sukurkite administratoriaus paskyros kredencialus, slaptažodyje turi būti bent 8 spausdinami ASCII simboliai.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password:

4. Jei visi įdiegti failai yra nepažeisti ir visos preliminarios patikros praeina, bus paleistas splunk serverio demonas (splunkd), bus sugeneruotas 2048 bitų RSA privatus raktas ir jūs gali pasiekti splunk žiniatinklio sąsają.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Tada atidarykite prievadą 8000, kurio „Splunk“ serveris klauso, užkardoje naudodami ugniasienės cmd.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Atidarykite žiniatinklio naršyklę ir įveskite šį URL, kad pasiektumėte puikią žiniatinklio sąsają.

http://SERVER_IP:8000

Norėdami prisijungti, naudokite naudotojo vardą: administratorius ir slaptažodį, kurį sukūrėte diegimo metu.

7. Sėkmingai prisijungę pateksite į „Splunk“ administratoriaus pultą, kaip parodyta toliau esančioje ekrano kopijoje. Norėdami stebėti žurnalo failą, pvz., /var/log/secure, spustelėkite Pridėti duomenis.

8. Tada spustelėkite Stebėti, kad pridėtumėte duomenų iš failo.

9. Kitoje sąsajoje pasirinkite Failai ir katalogai.

10. Tada nustatykite egzempliorių, kad galėtumėte stebėti failus ir katalogus, ar nėra duomenų. Norėdami stebėti visus katalogo objektus, pasirinkite katalogą. Norėdami stebėti vieną failą, pasirinkite jį. Spustelėkite Naršyti, kad pasirinktumėte duomenų šaltinį.

11. Bus rodomas katalogų root(/) kataloge sąrašas. Eikite į žurnalo failą, kurį norite stebėti (/var/log /secure) ir spustelėkite Pasirinkti.

12. Pasirinkę duomenų šaltinį, pasirinkite Nuolatinis stebėjimas, kad peržiūrėtumėte tą žurnalo failą, ir spustelėkite Kitas, kad nustatytumėte šaltinio tipą.

13. Tada nustatykite duomenų šaltinio šaltinio tipą. Bandymo žurnalo faile (/var/log/secure) turime pasirinkti Operacinė sistema→ linux_secure; tai leidžia splunk žinoti, kad faile yra su saugumu susijusių pranešimų iš Linux sistemos. Tada spustelėkite Kitas, kad tęstumėte.

14. Pasirinktinai galite nustatyti papildomus šios duomenų įvesties įvesties parametrus. Dalyje Programos kontekstas pasirinkite Paieška ir ataskaitų teikimas. Tada spustelėkite Peržiūrėti. Peržiūrėję spustelėkite Pateikti.

15. Dabar failo įvestis sėkmingai sukurta. Norėdami ieškoti duomenų, spustelėkite Pradėti paiešką.

16. Norėdami peržiūrėti visus įvestus duomenis, eikite į Nustatymai → Duomenys → Duomenų įvestis. Tada spustelėkite norimą peržiūrėti tipą, pvz., Failai ir katalogai.

17. Toliau pateikiamos papildomos komandos, skirtos valdyti (iš naujo paleisti arba sustabdyti) splunk demoną.

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Nuo šiol galite pridėti daugiau duomenų šaltinių (vietinių arba nuotolinių, naudodami Splunk Forwarder), tyrinėti savo duomenis ir (arba) įdiegti „Splunk“ programas, kad pagerintumėte numatytąsias funkcijas. Galite padaryti daugiau skaitydami oficialioje svetainėje pateiktą splunk dokumentaciją.

Pagrindinis „Splunk“ puslapis: https://www.splunk.com/

Tai kol kas! Splunk yra galinga, patikima ir visiškai integruota realaus laiko įmonės žurnalų valdymo programinė įranga. Šiame straipsnyje parodėme, kaip įdiegti naujausią Splunk žurnalų analizatoriaus versiją CentOS 7. Jei turite klausimų ar norite pasidalinti mintimis, naudokite toliau pateiktą komentarų formą ir susisiekite su mumis.