Weboldal keresés

A Splunk Log Analyzer telepítése a CentOS 7 rendszeren


A Splunk egy nagy teljesítményű, robusztus és teljesen integrált szoftver a valós idejű vállalati naplókezeléshez bármely napló és gép által generált adat összegyűjtésére, tárolására, keresésére, diagnosztizálására és jelentésére, beleértve a strukturált, strukturálatlan és összetett adatokat is. többsoros alkalmazásnaplók.

Lehetővé teszi, hogy gyorsan és ismételhető módon gyűjtsön, tároljon, indexeljen, keressen, korreláljon, vizualizáljon, elemezzen és jelentést készítsen azokról bármilyen naplóadat vagy géppel generált adat, hogy azonosítsa és megoldja a működési és biztonsági problémákat.

Ezenkívül az splunk a naplókezelési felhasználási esetek széles skáláját támogatja, mint például a naplókonszolidáció és -megőrzés, a biztonság, az IT-műveletek hibaelhárítása, az alkalmazások hibaelhárítása, valamint a megfelelőségi jelentések és még sok más.

Splunk jellemzői:

  • Könnyen méretezhető és teljesen integrálható.
  • Helyi és távoli adatforrásokat egyaránt támogat.
  • Lehetővé teszi a gépadatok indexelését.
  • Támogatja az adatok keresését és korrelációját.
  • Lehetővé teszi az adatok le- és felfúrását, valamint forgatást.
  • Támogatja a figyelést és a riasztást.
  • Támogatja a jelentéseket és az irányítópultokat is a megjelenítéshez.
  • Rugalmas hozzáférést biztosít relációs adatbázisokhoz, mezővel tagolt adatokhoz vesszővel tagolt értékű (.CSV) fájlokban vagy más vállalati adattárolókhoz, mint például a Hadoop vagy a NoSQL.
  • Támogatja a naplókezelési felhasználási esetek széles körét és még sok mást.

Ebben a cikkben bemutatjuk, hogyan telepíthető a Splunk naplóelemző legújabb verziója, hogyan adhat hozzá naplófájlt (adatforrást), és hogyan kereshet rajta eseményeket a CentOS 7ben. > (az RHEL terjesztésen is működik).

Ajánlott rendszerkövetelmények:

  1. CentOS 7 kiszolgáló vagy RHEL 7 kiszolgáló minimális telepítéssel.
  2. Minimum 12 GB RAM

Tesztkörnyezet:

  1. Linode VPS CentOS 7 minimális telepítéssel.

Telepítse a Splunk Log Analyzert a CentOS 7 naplóinak figyeléséhez

1. Nyissa meg a splunk webhelyet, hozzon létre egy fiókot, és szerezze be a rendszeréhez tartozó legújabb verziót a Splunk Enterprise letöltési oldaláról. Az RPM-csomagok elérhetők a Red Hat, CentOS és hasonló Linux-verziókhoz.

Alternatív megoldásként letöltheti közvetlenül a webböngészőn keresztül, vagy letöltheti a letöltési hivatkozást, és a wget commandv segítségével megragadhatja a csomagot a parancssoron keresztül, az ábrán látható módon.

wget -O splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=linux&version=7.1.2&product=splunk&filename=splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm&wget=true'

2. Miután letöltötte a csomagot, telepítse a Splunk Enterprise RPM alkalmazást az alapértelmezett /opt/splunk könyvtárba az RPM csomagkezelő segítségével, ahogy az ábrán látható. .

rpm -i splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm

warning: splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm: Header V4 DSA/SHA1 Signature, key ID 653fb112: NOKEY
useradd: cannot create directory /opt/splunk
complete

3. Ezután használja a Splunk Enterprise parancssori felületet (CLI) a szolgáltatás elindításához.

/opt/splunk/bin/./splunk start 

Olvassa el a SPLUNK SZOFTVER LICENCSZERZŐDÉST az Enter megnyomásával. Miután elolvasta, a rendszer megkérdezi: Egyetért-e ezzel a licenccel? A folytatáshoz írja be az Y parancsot.

Do you agree with this license? [y/n]: y

Ezután hozzon létre hitelesítő adatokat a rendszergazdai fiókhoz, a jelszavának összesen legalább 8 nyomtatható ASCII karaktert kell tartalmaznia.

Create credentials for the administrator account.
Characters do not appear on the screen when you type the password.
Password must contain at least:
   * 8 total printable ASCII character(s).
Please enter a new password: 
Please confirm new password: 

4. Ha az összes telepített fájl sértetlen, és minden előzetes ellenőrzés sikeres, akkor elindul a splunk szerver démon (splunkd), egy 2048 bites RSA privát kulcs jön létre, és Ön elérheti a splunk webes felületet.

All preliminary checks passed.

Starting splunk server daemon (splunkd)...  
Generating a 2048 bit RSA private key
......................+++
.....+++
writing new private key to 'privKeySecure.pem'
-----
Signature ok
subject=/CN=tecmint/O=SplunkUser
Getting CA Private Key
writing RSA key
Done
                                                           [  OK  ]

Waiting for web server at http://127.0.0.1:8000 to be available............. Done


If you get stuck, we're here to help.  
Look for answers here: http://docs.splunk.com

The Splunk web interface is at http://tecmint:8000

5. Ezután nyissa meg a 8000 portot, amelyre a Splunk szerver figyel, a tűzfalban a firewall-cmd segítségével.

firewall-cmd --add-port=8000/tcp --permanent
firewall-cmd --reload

6. Nyisson meg egy webböngészőt, és írja be a következő URL-t a splunk webes felület eléréséhez.

http://SERVER_IP:8000   

A bejelentkezéshez használja a Felhasználónevet: admin és a telepítés során létrehozott jelszót.

7. Sikeres bejelentkezés után a következő képernyőképen látható splunk felügyeleti konzolba kerül. Egy naplófájl, például /var/log/secure figyeléséhez kattintson az Add Add lehetőségre.

8. Ezután kattintson a Monitor lehetőségre adatok hozzáadásához egy fájlból.

9. A következő felületen válassza a Fájlok és könyvtárak lehetőséget.

10. Ezután állítsa be a példányt a fájlok és könyvtárak adatok megfigyelésére. Egy könyvtár összes objektumának figyeléséhez válassza ki a könyvtárat. Egyetlen fájl figyeléséhez válassza ki azt. Kattintson a Tallózás gombra az adatforrás kiválasztásához.

11. Megjelenik a root(/) könyvtárában található könyvtárak listája, lépjen a figyelni kívánt naplófájlhoz (/var/log /secure), majd kattintson a Kiválasztás gombra.

12. Az adatforrás kiválasztása után válassza a Folyamatos figyelés lehetőséget a naplófájl megtekintéséhez, majd kattintson a Tovább gombra a forrástípus beállításához.

13. Ezután állítsa be az adatforrás forrástípusát. A (/var/log/secure) tesztnaplófájlunkhoz az Operating System→linux_secure lehetőséget kell választanunk; így a splunk tudja, hogy a fájl biztonsággal kapcsolatos üzeneteket tartalmaz egy Linux rendszertől. Ezután kattintson a Tovább gombra a folytatáshoz.

14. Opcionálisan további bemeneti paramétereket is beállíthat ehhez az adatbevitelhez. Az Alkalmazáskontextus alatt válassza a Keresés és jelentések lehetőséget. Ezután kattintson az Áttekintés lehetőségre. Az áttekintés után kattintson a Küldés gombra.

15. A fájlbevitel sikeresen létrejött. Kattintson a Keresés indítása lehetőségre az adatok kereséséhez.

16. Az összes bevitt adat megtekintéséhez lépjen a Beállítások → Adatok → Adatbevitelek menüpontba. Ezután kattintson a megtekinteni kívánt típusra, például Fájlok és könyvtárak.

17. Az alábbiakban további parancsok találhatók a splunk démon kezeléséhez (újraindításához vagy leállításához).

/opt/splunk/bin/./splunk restart
/opt/splunk/bin/./splunk stop

Mostantól további adatforrásokat adhat hozzá (helyi vagy távoli a Splunk Forwarder segítségével), felfedezheti adatait és/vagy telepíthet Splunk alkalmazásokat az alapértelmezett funkciók javítása érdekében. Többet tehet, ha elolvassa a hivatalos webhelyen található splunk dokumentációt.

Splunk kezdőlap: https://www.splunk.com/

Egyelőre ennyi! A Splunk egy hatékony, robusztus és teljesen integrált, valós idejű vállalati naplókezelő szoftver. Ebben a cikkben bemutattuk, hogyan telepítheti a Splunk naplóelemző legújabb verzióját a CentOS 7 rendszeren. Ha bármilyen kérdése vagy gondolata van, használja az alábbi megjegyzés űrlapot, és lépjen kapcsolatba velünk.