Kuidas installida Splunk Log Analyzer CentOS 7-le


Splunk on võimas, vastupidav ja täielikult integreeritud tarkvara ettevõtte logide haldamiseks reaalajas, et koguda, salvestada, otsida, diagnoosida ja teatada logidest ja masinaga loodud andmetest, sealhulgas struktureeritud, struktureerimata ja keerukatest mitmerealistest rakenduste logidest.

See võimaldab teil kiiresti ja korrataval viisil koguda, salvestada, indekseerida, otsida, korreleerida, visualiseerida, analüüsida logiandmeid või masinaga genereeritud andmeid ja neist aru anda, et tuvastada ja lahendada operatiivsed ja turbeprobleemid.

Lisaks toetab splunk paljusid logihalduse kasutamise juhtumeid, nagu logide konsolideerimine ja säilitamine, turvalisus, IT-toimingute tõrkeotsing, rakenduste tõrkeotsing, samuti vastavuse aruandlus ja palju muud.

  • see on hõlpsasti skaleeritav ja täielikult integreeritav.
  • Toetab nii kohalikke kui ka kaugeid andmeallikaid.
  • võimaldab indekseerida masinaandmeid.
  • Toetab mis tahes andmete otsimist ja korreleerimist.
  • Võimaldab andmeid allapoole ja ülespoole sirvida ning andmeid liigutada.
  • Toetab jälgimist ja hoiatamist.
  • Toetab ka visualiseerimiseks aruandeid ja juhtpaneele.
  • Pakub paindlikku juurdepääsu relatsioonandmebaasidele, väljadega eraldatud andmetele komadega eraldatud väärtusega (.CSV) failides või muudele ettevõtte andmepoodidele, nagu Hadoop või NoSQL.
  • Toetab paljusid logihalduse kasutamise juhtumeid ja palju muud.

Selles artiklis näitame, kuidas installida Splunki logianalüsaatori uusim versioon ja kuidas lisada logifail (andmeallikas) ja otsida selle kaudu CentOS 7 sündmusi (töötab ka RHEL-i levitamisel).

  1. Minimaalse installiga RHEL 7 server.
  2. Minimaalselt 12 GB RAM-i

  1. Linode VPS koos CentOS 7 minimaalse installiga.

Installige Splunk Log Analyzer CentOS 7 logide jälgimiseks

1. Minge Splunki veebisaidile, looge konto ja haarake Splunk Enterprise'i allalaadimislehelt oma süsteemi uusim saadavalolev versioon. RPM-paketid on saadaval Red Hati, CentOS-i ja muude sarnaste Linuxi versioonide jaoks.

Teise võimalusena saate selle alla laadida otse veebibrauseri kaudu või hankida allalaadimislingi ja kasutada paketti haaramiseks käsurea kaudu, nagu näidatud, käsuga wget commandv.

# wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Kui olete paketi alla laadinud, installige Splunk Enterprise RPM vaikekataloogi/opt/splunk, kasutades RPM-paketi haldurit, nagu näidatud.

# rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Järgmisena kasutage teenuse käivitamiseks Splunk Enterprise käsurealiidest (CLI).

# /opt/splunk/bin/./splunk start 

Lugege läbi SPLUNK TARKVARA LITSENTSI LEPING, vajutades Enter. Kui olete selle lugemise lõpetanud, küsitakse teilt: kas olete selle litsentsiga nõus? Jätkamiseks sisestage Y .

Do you agree with this license? [y/n]: y

Seejärel looge administraatori konto jaoks mandaat. Teie parool peab sisaldama kokku vähemalt 8 prinditavat ASCII tähemärki.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. Kui kõik installitud failid on terved ja kõik eelkontrollid on läbitud, käivitatakse splunk-serveri deemon (splunkd), genereeritakse 2048-bitine RSA privaatne võti ja pääsete juurde splunk-veebiliidesele.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Järgmisena avage oma tulemüüris pesa 8000, mida Splunki server kuulab, kasutades tulemüüri cmd.

# firewall-cmd --add-port=8000/tcp --permanent
# firewall-cmd --reload

6. Avage veebibrauser ja sisestage splunk-veebiliidesele juurdepääsemiseks järgmine URL.

http://SERVER_IP:8000   

Sisselogimiseks kasutage kasutajanime: admin ja installiprotsessi käigus loodud parooli.

7. Pärast edukat sisselogimist maandute järgmisel ekraanipildil näidatud splunk-i administraatorikonsoolis. Logifaili, näiteks /var/log/secure jälgimiseks klõpsake nuppu Lisa andmeid.

8. Seejärel klõpsake failist andmete lisamiseks nuppu Monitor.

9. Valige järgmisest liidesest Failid ja kataloogid.

10. Seejärel seadistage eksemplar andmete failide ja kataloogide jälgimiseks. Kõigi kataloogis olevate objektide jälgimiseks valige kataloog. Ühe faili jälgimiseks valige see. Andmeallika valimiseks klõpsake nuppu Sirvi.

11. Teie kataloogis juur (/) kuvatakse kataloogide loend, navigeerige logifailini, mida soovite jälgida (/ var/log/secure) ja klõpsake nuppu Vali.

12. Pärast andmeallika valimist valige logifaili vaatamiseks Continuously Monitor ja klõpsake allika tüübi määramiseks nuppu Edasi.

13. Seejärel määrake oma andmeallikale allika tüüp. Testlogifaili (/ var/log/secure) jaoks peame valima Operatsioonisüsteem → linux_secure; see annab splunk'ile teada, et fail sisaldab turbega seotud teateid Linuxi süsteemist. Seejärel klõpsake jätkamiseks nuppu Edasi.

14. Selle andmesisestuse jaoks saate soovi korral määrata täiendavaid sisendparameetreid. Jaotises Rakenduse kontekst valige Otsing ja aruandlus. Seejärel klõpsake ülevaadet. Pärast ülevaatamist klõpsake nuppu Esita.

15. Nüüd on teie failisisestus edukalt loodud. Andmete otsimiseks klõpsake nuppu Alusta otsimist.

16. Kõigi andmesisendite vaatamiseks minge menüüsse Seaded → Andmed → Andmesisendid. Seejärel klõpsake tüübil, mida soovite vaadata, näiteks Failid ja kataloogid.

17. Järgmised on täiendavad käsud splunk-deemoni haldamiseks (taaskäivitamiseks või peatamiseks).

# /opt/splunk/bin/./splunk restart
# /opt/splunk/bin/./splunk stop

Nüüdsest saate lisada rohkem andmeallikaid (Splunk Forwarderi abil kohalikud või kaugjuhtimispuldid), uurida oma andmeid ja/või installida Splunk-rakendusi selle vaikefunktsioonide täiustamiseks. Võite rohkem teha, lugedes ametlikul veebisaidil pakutavat üksikasjalikku dokumentatsiooni.

Splunki koduleht: https://www.splunk.com/

Praegu on see kõik! Splunk on võimas, vastupidav ja täielikult integreeritud reaalajas ettevõtte logihaldustarkvara. Selles artiklis näitasime, kuidas installida Splunki logianalüsaatori uusim versioon saidile CentOS 7. Kui teil on jagamiseks küsimusi või mõtteid, kasutage meiega ühendust saamiseks allolevat kommentaarivormi.